威脅情報的定義
                                        發布時間:2019-05-21 15:11:58

                                        威脅情報的定義

                                        簡介

                                           在過去的幾年中,術語“威脅情報”迅速出現在信息安全領域,許多安全廠商現在為消費者提供威脅情報服務。由于威脅情報并沒有一個明確的工業化定義,不是所有人對它的定義都一致。導致的結果是威脅情報這一術語如此廣泛地使用在安全工業領域,但對于“情報”的真實定義卻一直沒有。今天正在提供給市場的威脅情報服務完全沒有提供正確的威脅情報——他們只是提供對經過最簡單(或者甚至是原始的)數據的訪問權。

                                         

                                           這篇Solutionary公司的白皮書向讀者們提供對情報的基本介紹,進一步,會介紹一下威脅情報。這篇文章的關鍵論點如下:

                                        用傳統情報社區(的觀點)來羅列工業上關于情報的定義,以便在向前時有一種統一的理解。

                                        明確定義什么是威脅情報,它的核心準則,網絡情報當前的演變和它的衍生物:網絡威脅情報。

                                        對將原始數據轉換為情報必須的情報處理過程的步驟文檔化。

                                        為那些正在考慮商業威脅情報服務的讀者提供一個精準的依據和理解。

                                        討論威脅情報服務增長背后的影響。

                                        什么是威脅情報?

                                        中央情報局(CIA)關于情報的定義1(對威脅情報的關鍵論點作了下劃線):

                                        用最簡術語表示,情報是我們所處世界中的知識和預判。美國政策制定者決策和行動的先導。情報機構將這種信息以某種方式提供給消費者、國民領導或軍隊指揮官,(以便讓他們)去思考可替換的選項和結果。情報處理過程涉及漫長細心和通常是枯燥耗時的對事實的搜集、對它們的分析、快速和清晰的評估、仔細判斷后形成產品,并且不時遞知給消費者。綜上,這個分析過程必須是完整而冗長的,經常性的和與政治需求及企業相關的。

                                         

                                        商業威脅情報的目標是去傳遞與中央情報機構提供的具有相似能力的事物。然而,取代了向政府官員提供軍事和政治情報,當前關注范圍在信息安全工業內,主要是向組織機構相關人員提供關于他們企業系統的數字威脅的威脅情報。

                                         

                                        這種威脅情報,和與之相關的價值,經常與特定情報目標的實現(也被稱為優先情報要求(PIR))關聯起來。PIR可被視為是收集信息以滿足情報要求的特殊使用案例。

                                         

                                        有時候“威脅情報”這一術語經常被定義為數據或與潛在的網絡安全相關的數據饋送這樣的錯誤名詞。這個定義極大地簡化了應當被收集為情報供給內一部分的的情報類型,和將原始數據轉換為顧客可用來行動的情報的(被要求的)過程。

                                         

                                        網絡威脅情報要處理的遠不止如此。它的目的是成為一個跨學科的和整體的,可以提供一個人可理解的和真實的情報產品的,可以在多層面上給股東們提供價值的解決方案。它從一個組織周邊的物理(PESTLE,STEEPLED2和數字環境中同時收集數據,而且要顧及更廣泛的攻擊面。(我們)可以這樣闡述觀點:在情報圈內有一個很小但正在發展為聯盟的,限制伙伴關系和在物理與網絡世界威脅里面廣泛聯系、關聯的角色。許多跨國犯罪組織無一例外地擅長于用來尋找新的犯罪企業的環境掃描。網絡威脅情報是用來應對這些因素的唯一準備。

                                        核心情報原則

                                        情報是一種諜報。它結合了可以被用來橫跨整個產業的方法論和技術。它的收集包括五個核心原則和它們的附屬原則。傳統情報社區辨別情報的原則基于他們的計劃目的和收集來源。對五個情報原則的描述如下。

                                        1. 人力情報(HUMINT- HUMINT是從一個線人那里收集信息。這種來源也許擁有第一手或者第二手的資料,且通常通過看、聽和活動來獲得。它可以包括威脅、中立或友好的(政府)文職人員。

                                        2. 開源威脅情報(OSINT- OSINT探索、利用和提高可公開獲得的公眾信息。由于海量的可利用信息,數據挖掘和高級搜索技術顯得尤為重要。這種情報包括電視、雷達廣播、書籍、報紙和網絡這些來源。

                                        3. 信號情報(SIGINT- SIGINT被定義為對交通系統、雷達和武器系統的信號轉換的收集和利用。SIGINT的結果來自收集、鎖定、處理、分析和報告被攔截的通訊和沒有通訊功能的發射器。SIGINT被歸為電子情報(ELINT)和通訊情報(COMINT)的子類。

                                        4. 圖像情報(IMINT- IMINT是被大量陸地、航空或衛星探測器收集的地理空間信息。

                                        5. 測量和特征情報(MASINT- MASINT是情報的一個技術分支,使用通過諸如雷達、聲吶、無源電光傳感器、地震儀和其他用來測量物體或事件以通過它們的特征來辨別它們的傳感器所收集的信息。這包括去離散標記一個人、一個地方或有特殊特征的事物的能力。

                                        威脅情報的定義(圖1)

                                        1

                                        可辨別的網絡情報

                                        網絡情報(CYINT- 不是核心情報原則里的一種,但是一個相對新穎且在不斷發展的領域,它是一個混合體,而且可以包含任何組合或所有上述五個原則。盡管它可以被用來作為網絡安全的關鍵組件,網絡情報操作卻與網絡安全任務獨立,而且可以支持涵蓋政府和工業的各個方面的大量操作。

                                         

                                        對組織機構來說,意識到情報領域的這個迅速出現的(事物)的更廣泛能力和怎樣在未定義網絡威脅角色、關于漏洞的技術數據、惡意代碼或知識產權信譽數據之前使用它,是關鍵的。網絡情報走在這些狹小的因素之前,而且包含與一個組織機構的物理環境相關的行動或事件的分析,它可以做到對數字威脅的預測。

                                        情報圈

                                        情報圈包含以下幾個短語,如下面圖2所示:

                                        1. 計劃、要求和方向情報收集的計劃和方向包括對整個情報工作的管理——從優先情報要求(消費者3領導和進一步需求的定義)到最終情報產品4。

                                        2. 收集根據建立好的方向,威脅情報服務從相關來源里面收集潛在有用的原始數據。

                                        3. 處理將收集到的數據加強為適用于更詳細分析的標準格式。

                                        4. 分析和產品收集到的數據被領域專家分析以辨識出對消費者環境的潛在威脅。用來對被辨識出的威脅產生響應的對策也在這個階段被開發。

                                        5. 傳播情報分析結果被提交給客戶,以便合適的保護性措施可以被執行。

                                        威脅情報的定義(圖2)

                                        2

                                        情報漏斗

                                        情報天生不是作為一個完整產品被發現的,而是來源一個結構的派生——對包含有助于達到特定優先情報需求的噪音或數據的完整仔細的辨識過程。它最終被分析和評估。如果它滿足要求,將會被轉換成傳遞給情報買家的情報產品。

                                         

                                        ?噪音 是根據優先情報需求收集的一系列事物。

                                        ?數據 是噪音經過過濾和沒有應用價值的條目被去除后的遺留。

                                        ?信息 是有特定用途的數據。一旦它被分配給一個用途,它就有了價值。

                                        ?情報 是帶有戰略性目的的信息,可以被用來獲取優勢。情報是一項僅以人類為中心的活動。

                                        ?可行動的情報是情報主導的,基于對可被初始化、用以行動和提供清晰的結果的證據的評定,它被用來提供對優先情報需求的支持。

                                        威脅情報的定義(圖3)

                                        3

                                        從信息中辨識情報

                                        許多安全威脅情報廠商實際上停留在情報漏斗處理過程的“數據”和“信息”階段,但仍然將傳遞的信息叫做威脅情報。信息和情報有著定義上的不同。

                                        ?信息:一個對Java零日漏洞的利用被公開在一個安全郵件列表中。馬上,有惡意軟件被發現使用了該漏洞。安全廠商將這個威脅通知客戶并且給出減緩威脅的建議。這叫做威脅信息(這像是非常有用的信息),但是在定義上,這不是威脅情報。

                                        ?情報:一家監控著Java漏洞的安全廠商注意到該漏洞在亞太地區的感染率遠高于美國。會在用戶計算機設備上安裝代碼和僵尸網絡命令和與控制系統關聯的新變種惡意代碼正在被觀察到。與此同時,一家大型的金融機構宣布若干小型的、區域性的銀行猛漲股票價格,與此同時,發起了對他們的空頭支票費用從20美元到35美元的猛漲,因此激怒了消費者。若干黑客團體開始在推特和其他社交網站上討論對美國銀行系統的抗議活動,希望使主要交易機構的網上交易宕機一天。一個黑客活動的推特賬號上發布了使用僵尸網絡命令和控制軟件的指令,這些正好與通過Java漏洞安裝在客戶機的僵尸網絡惡意代碼相關。

                                         

                                        將這些數據點連接起來可以得到一幅清晰的圖片:美國的銀行極有可能被黑客團體作為利用基于Java漏洞的僵尸網絡進行DDoS(分布式拒絕服務)攻擊的目標?;谝呀浿赖母腥咎卣?,銀行可以預測出用來進行攻擊的那些來自亞洲的IP地址。這才是威脅情報——信息被從分散的來源收集起來,通過人為分析合成,去辨識出針對某一特定目標的特定威脅。

                                        威脅情報收集

                                        定向攻擊、零日漏洞和惡意軟件的利用工具是許多組織機構的擔心之處。然而,大多數組織機構并沒有獨立研究和評估威脅必須要具備的資源和知識技能,更不用說去決定這些威脅與他們的組織機構有多大的相關性。

                                         

                                        威脅情報服務經常被當做一種外包能力的形式來使用,用來提供那些別的地方無法提供的,對高級安全議題的知識技能和資源的訪問權。有資歷的威脅情報人員經受過廣泛的訓練,擁有特殊定制的工具,并且理解現代攻擊者的思維方式和方法。他們也擅長從相關收集到的資源里面進行數據挖掘,如下圖4所示:

                                        威脅情報的定義(圖4)

                                        4

                                        情報事件中可辨別的特征

                                        跡象性事件和事件性事件——在情報詞庫里,“事件”是指分析員用來預測一個威脅增加或者減少的原始數據。這些事件被用來界定那些已經發生或者將要發生的威脅環境的改變的關鍵跡象。

                                        威脅情報的定義(圖5)

                                        5

                                         

                                        這些就是能被用來確認一個威脅正在增長的風險,或唯一標志一次襲擊的特定碎片化數據。跡象性事件和事件性事件本身都可以是技術性(數字的)或非技術性的(物理的),而且可以被用來辨識圍繞一個潛在的或已表現出來的威脅或攻擊的環境因素。這些包括:

                                        ?物理的集體訴訟、立法或者影響立法的行為嘗試、許可證的吊銷、政治捐贈、被關鍵人物公開或者私下做出的個人社交媒體上的有爭論的陳述、買入大量關鍵的真實的房地產、不受歡迎的政策變化、裁員、(企業的)合并或收購、環境破壞、總部遷移、在特定人口或經濟中心的商店的開張或關閉,等等。

                                        ?數字的大量失敗的密碼登陸嘗試、緩沖區溢出、端口掃描、網絡釣魚活動、SQL查詢注入、統一資源定位符(URLs)、文件名稱、文件擴展、文件哈希值、服務或者可執行文件、命令序列、HTTP請求、注冊表設定、使用的協議和端口,等等。

                                        威脅情報提供的信息

                                        威脅情報處理的最終結果是去回答股東的下面幾個問題:

                                        ?威脅當前的哪些威脅是組織機構必須要知道的?組織機構所面對的網絡威脅被歸入為一個獨特的分類,因為它們本身就帶有不易理解性和不對稱性。不易理解性指的是數字環境的不規律和不易追蹤的特征,不對稱性是指在一個位置范圍的可執行策略下威脅房和目標方在實力上的巨大不平衡。

                                        ?威脅方特定威脅下的(團體/個人)(是誰/是什么/在哪里)?他們的能力、動機、目標、運作的范圍、活動的歷史有哪些?

                                        ?目標方誰被威脅視為目標?這些威脅是基于地理的、政治的還是行業的?

                                        ?方法和策略攻擊者們所采用的策略性方式是什么?威脅被設計用來做什么?它關注的是什么?他們使用的是什么工具和設施?哪些技術、版本和用戶類型被作為目標?攻擊怎樣被傳遞到目標?

                                        ?對策組織機構可以采取怎樣的行動去應對特定威脅?威脅措施可以包括:入侵檢測系統特征、反病毒系統特征、需要阻塞的端口/協議或者其他可被用來幫助保護組織機構被特定威脅攻擊的反應行動。

                                         


                                        咨詢電話
                                        400-1188-776
                                        欧美亚洲国产三级片_国产精品99丝袜无码专区在线_99精品全国在线播放_亚洲国产系列无码精品导航