威胁情报

2022-02-16 09:04:10 作者：互联网

1 定义

威胁目前没有唯一的定义，参考各方定义做了总结：

威胁情报是一种基于证据的知识，包括了情境、机制、指标、影响和操作建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。
对敌方的情报，及其动机、企图和方法进行收集、分析和传播，帮助各个层面的安全和业务成员保护企业关键资产。
针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标，所收集的用于评估和应用的数据集。
关于已经收集、分析、分发的，针对攻击者和其动机的目的手段，用于帮助所有安全级别和业务员用于保护其企业核心资产的知识。

通过全世界数据的搜集和大数据分析技术的结合，去研究攻击者是谁，掌握哪些技术和工具，历史上做过哪些事情，近期想要做什么，目标是什么（对企业产生潜在与非潜在危害的信息进行收集）。通过这些分析形成网络安全方面的情报（企业面对的机遇和威胁），让企业能快速有效的对黑客攻击进行有效的防护。

通常来讲，公司无法辨别威胁。企业经常花费太多钱在攻击发生之后对漏洞的修补和调查问题上，而不打算在攻击出现之前就修复它。

威胁情报是一种基于数据的，对组织即将面临的攻击进行预测的行动。预测（基于数据）将要来临的的攻击。威胁情报利用公开的可用资源，预测潜在的威胁，可以帮助你在防御方面做出更好的决策，威胁情报的利用可以得到以下好处：

采取积极地措施，而不是只能采取被动地措施，可以建立计划来打击当前和未来的威胁；
形成并组织一个安全预警机制，在攻击到达前就已经知晓；
情报帮助提供更完善的安全事件响应方案；
使用网络情报源来得到安全技术的最新进展，以阻止新出现的威胁；
对相关的危险进行调查，拥有更好的风险投资和收益分析；
寻找恶意IP地址、域名/网站、恶意软件hash值、受害领域。
以往的企业防御和应对机制根据经验构建防御策略、部署产品，无法应对还未发生以及未产生的攻击行为。但是经验无法完整的表达现在和未来的安全状况，而且攻击手法和工具变化多样，防御永远是在攻击发生之后才产生的，而这个时候就需要调整防御策略来提前预知攻击的发生，所以就有了威胁情报。通过对威胁情报的收集、处理可以实现较为精准的动态防御，在攻击未发生之前就已经做好了防御策略。

标签：威胁,收集,情报,攻击,防御,企业
来源： https://www.cnblogs.com/wh0121/p/15898882.html