如今,绝大多数IT执行者都已经意识到,情报是针对高级网络攻击的有力武器。无论是安全厂商、企业机构还是主管机关都在谈论着“威胁情报”。那么,威胁情报到底是什么?对于企业安全又有什么深入意义?企业落地威胁情报又需要如何规划与实施呢?
一、威胁情报的定义及使用
威胁情报指通过各种来源获取环境所面临威胁的相关知识。2013 年5 月,Gartner 分析师Rob McMillan 对威胁情报做出了贴切的解释:关于资产所面临的现有或潜在威胁的循证知识,包括情境、机制、指标、推论与可行建议,这些知识可为威胁响应提供决策依据。
二、使用STIX规范网络威胁情报信息
对组织来说,获得网络威胁情报能力越来越必要,而成功获取该等能力的关键要素是与合作伙伴、友商及所信任的其他人进行信息共享。网络威胁情报和信息共享可帮助组织聚焦庞杂的网络安全信息,并对数据的使用进行优先级排序,组织要处理此类信息,就必然需要标准化的、结构化的信息表达。
三、威胁情报如何驱动新一代智能安全防护体系
发生攻击前,威胁情报能够帮助大家做一些什么防御工作?
在攻击的过程当中,可以利用威胁情报起到真正的防御的作用吗?
它与当前的应急响应到底又有哪些不同?
攻击之后,威胁情报在攻击溯源这个层面上,又能够做一些什么工作呢?
四、企业落地思考:威胁情报的现状、种类和应用
威胁情报对于企业安全运营者的意义非凡。本文通过情报体系建设中的关键问题和我们尝试的解决方案,引发落地应用的思考。
五、威胁情报之落地实战——由灰向黑篇
威胁情报在企业侧应用的数据、方法和经验分享,主要阐述了行为分析和情报分析的综合效能。