一 、概念
威胁情报(Gartner定义):Threat Intelligence,以下简称TI
关于已出现或新的资产威胁和危险的、基于证据的信息,包括情景、机制、指标、影响和可行建议,可用来通知企业针对相关威胁或危险做出决策。
威胁情报平台(Gartner定义):Threat Intelligence Platforms,以下简称TIPs
用来收集、关联实时数据,并对其分类、整合的一个平台,可优先支持防御行动。同时,还会整合现有安全技术和流程并加以补充,解决了在多个利益相关人和不同群体之间快速分享MRTI的需求。
二、威胁情报平台的特征(Gartner解读)
收集
TIPs可以从各类资源中获取威胁情报,如开源机读情报来源、商业情报来源、公开情报来源、各类厂商提供的API,并使各种形式的TI标准化,这是TIP区别于SIEM的关键点。
关联
TIPs能够分析、关联、转移或丰富数据,以便得到更多权威信息和数据情景。每一个邮件地址、URL、域名、IP地址或文件都能给已有威胁提供一个更具说服力、更完整的图像。
分类
一旦收集并关联了信息,分析师就可以分类、找出威胁情报。对IP地址、MD5签名、主机入侵标志、域名和URL等进行分类和补充。分析师可以对威胁主体群、ISP或其他允许建立配置文件的共性进行分类。
集成
一个功能齐全的TIPs能够集成海量上游资源中的信息流,并将其转化,用于大量的下游工具。
行动
一般来说,TIPs不会自动采取行动,它们更多地是一种进程,自动化和分析工具,但是一些TIP为用户提供了触发行动任务的能力,这些行动一般由其他用户来完成,以便让大量用户在事件前或事件中采取协调式工作流程。
共享
快速分享威胁情报的强化能力是TIP的一个重要特征,也是区别于其他平台的区分点。
采用TIP分享情报有两种方式:内部分享+外部分享,TIPs一个最大的好处就是能够创建并加入一个“信任圈”,与其他企业分享情报。
三、威胁情报的应用
Gartner认为必须建立威胁情报平台,才能实现威胁情景可视化、互相关联、感知情景。
Gartner在报告The Five Characteristics of an Intelligence-Driven Security Operations Center中特别提到,安全运营中心体系架构必须接入安全情报,充分感知安全环境,以情报作为驱动力。
摘自:
青藤云安全
