type
Post
status
Published
date
Nov 16, 2022
slug
CTI_basic_knowledge
summary
情报是信息的一种高纬度形式,威胁是类型,因此威胁情报其实就是针对主体的、关于威胁高纬度信息。
tags
威胁情报
category
碎片杂文
icon
password
Property
Nov 24, 2022 01:45 PM
情报是信息的一种高纬度形式,威胁是类型,因此威胁情报其实就是针对主体的、关于威胁高纬度信息。
在军事上,美军对于情报部门的工作的定义是:Intelligence can be described as information concerning an enemy or potential enemy, the evaluated conclusions drawn from such information, or an organization/agency engaged in gathering such information.
翻译成人话就是:情报可以描述为与敌人或潜在敌人有关的信息,从此类信息得出的评估结论或从事此类信息收集工作的组织/机构。
威胁情报通过使用多种数据(5W1H)来生成关于对手的知识,从而实现这一目标,例如:[5]
  • 对手是谁(Who),包括威胁行为体,赞助商和雇主
  • 对手使用什么(What),包括他们的能力和基础设施
  • 对手的行动时(When),确定行动的时间表和规律
  • 对手的目的(Why),包括他们的动机和意图
  • 对手的目标行业和地理区域(Where),详细说明行业,垂直行业和地理区域
  • 对手如何运作(How),专注于他们的行为和规律

怎么从白帽子黑客转为情报员?

  • 基本保密意识和反社工能力,善用搜索引擎和社工收集信息(最常用的)
  • 热点制作与钓鱼,渗透入侵等技术手段获取敏感信息
  • 从海量数据中筛选分析真假数据(核心是数据分析0),生成画像溯源威胁源。使用工具收集整理和分析
  • 战术开发,战略规划。(产出入侵方案和反入侵方案)

网络空间威胁情报共享技术综述

网 络 空 间 的 攻 防 战 是 一 场 “非 对 称”战 争.
提 高 检 测 识 别 准 确 率,缩 短 响 应 时 间,降低防御成本,成为网络安全领域的研究重点.威胁情报具有高度规范化的数据格式,可机读,也可人工分析;同时,威胁情报数据内容的知识密度大、准确性高、关联性强,可以为安全分析的各个阶段提供有力的数据支撑.
根据 CNCERT的研究,近年来我国逐渐成为各类网络攻击的重灾区,而其中以 APT和 DDoS为代表的新型攻击所占的比重越来越大.
要健全市场主导、政府监督、联盟协同、实体运营的国内情报共享体制
主要问题是共享数据的有效性计量和有限性约束.
有效性计量的问题包括共享数据表达、共享传输规范、共享数据有效性评估等.
有限性约束的问题则包括共享风险评估、情报知识产权保护、数据隐私保护等.
如何确定共享数据的格式和内容、共享数据以何种方式共享交换,以及如何使共享数据得到有效保护.
威胁情报属于一种海量、多源、异构的数据.
Hash、IP、域名类情报属于易于获取但利用价值不高的低级情报
网络或主机特征、攻击工具、TTPs等情报属于相对不易获取但具有较高利用价值的高级情报.
高级情报包含丰富的知识内容和较强的关联逻辑关系,可以适用于较广泛的安全分析场景.
高级情报存在问题,研究如何提高高级情报的自动化分析、处理的识别效率和准确率,对降低攻击检测成本,缩 短 攻 击 响 应 时 间 和 提 高 攻 击 防 御 能 力 十 分重要.
情报根据内容分类:1)基础网络类情报2)攻击团体情报3)APT分析类情报主要由业界知名的情报厂商发布
威胁情报主要分为两种:1)安全厂商以产品形式出售或分享;2)开源情报联盟或情报联盟以开源数据的形式分享.
这类情报虽然内容相对单一,但在准确性和适用性方面具有较大优势.
威胁情报在安全分析中的优势在于其高度结构化的数据框架和具有丰富关联关系的数据内容.
有数据表达规范和通信传输协议在威胁情报数据表达的有效性与完整性、传输的准确性与安全性等方面存在问题
主要问题有3个:数据格式不统一,无法相互读取;内容框架不兼容,无法相互理解;传输协议不通用,无法相互传输. 针对这些问题,学术界和产业界分别在情报的相关分类与管理、传输规范和表达规范等方面进行了研究.
 
书籍推荐——李开复《人工智能》Web技术——Django常用内置命令汇总