一 、概念
威脅情報(Gartner定義):Threat Intelligence,以下簡稱TI
關于已出現或新的資產威脅和危險的、基于證據的信息,包括情景、機制、指標、影響和可行建議,可用來通知企業針對相關威脅或危險做出決策。
威脅情報平臺(Gartner定義):Threat Intelligence Platforms,以下簡稱TIPs
用來收集、關聯實時數據,并對其分類、整合的一個平臺,可優先支持防御行動。同時,還會整合現有安全技術和流程并加以補充,解決了在多個利益相關人和不同群體之間快速分享MRTI的需求。
二、威脅情報平臺的特征(Gartner解讀)
收集
TIPs可以從各類資源中獲取威脅情報,如開源機讀情報來源、商業情報來源、公開情報來源、各類廠商提供的API,并使各種形式的TI標準化,這是TIP區別于SIEM的關鍵點。
關聯
TIPs能夠分析、關聯、轉移或豐富數據,以便得到更多權威信息和數據情景。每一個郵件地址、URL、域名、IP地址或文件都能給已有威脅提供一個更具說服力、更完整的圖像。
分類
一旦收集并關聯了信息,分析師就可以分類、找出威脅情報。對IP地址、MD5簽名、主機入侵標志、域名和URL等進行分類和補充。分析師可以對威脅主體群、ISP或其他允許建立配置文件的共性進行分類。
集成
一個功能齊全的TIPs能夠集成海量上游資源中的信息流,并將其轉化,用于大量的下游工具。
行動
一般來說,TIPs不會自動采取行動,它們更多地是一種進程,自動化和分析工具,但是一些TIP為用戶提供了觸發行動任務的能力,這些行動一般由其他用戶來完成,以便讓大量用戶在事件前或事件中采取協調式工作流程。
共享
快速分享威脅情報的強化能力是TIP的一個重要特征,也是區別于其他平臺的區分點。
采用TIP分享情報有兩種方式:內部分享+外部分享,TIPs一個最大的好處就是能夠創建并加入一個“信任圈”,與其他企業分享情報。
三、威脅情報的應用
Gartner認為必須建立威脅情報平臺,才能實現威脅情景可視化、互相關聯、感知情景。
Gartner在報告The Five Characteristics of an Intelligence-Driven Security Operations Center中特別提到,安全運營中心體系架構必須接入安全情報,充分感知安全環境,以情報作為驅動力。
摘自:
青藤云安全
