简单来说，威胁情报就可以帮助人们识别安全威胁并做出明确决定的知识。
威胁情报可以帮助人们解决如下问题：
如何跟得上包括恶意攻击、攻击方法、安全漏洞、黑客目标等等在内的如潮水般海量的安全威胁信息？
面对未来的安全威胁，如何获取更多的主动？
如何向领导汇报具体安全威胁的危险和影响？
“威胁情报”到底是什么鬼？
威胁情报最近备受关注。尽管对于威胁情报到底是什么有着许多不同的定义，但以下几条却是经常被引用的说法：
威胁情报是循证知识，包括环境、机制、指标、意义和可行性建议，现有的或新兴的、对资产的威胁或危害，可用于主体对威胁或危害的反应做出明确决定。
威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。
为什么人人都在谈论“威胁情报”？
据《威瑞森2015年数据破坏调查报告》，预计2015年将发生安全事帮79790起，造成7亿条数据记录泄露，经济损失高达4亿美元。
只要安全威胁和数据泄露不断发生，任何企业都会想法设法去保护自己的数据。威胁态势总是不断变化，因为我们对IT系统的依赖，我们的业务风险也在不断增加,。
既有来自内部的安全威胁，也有来自外部的安全威胁。各单位为了有效地管理威胁，一直承受着巨大的压力，几乎不堪重负。尽管原始数据的信息唾手可得，且耗时很难，但要获得基于可设置有效衡量标准的有意义的信息却不是那么容易的事，而且耗时耗力。
这自然就把越来越多的用户推向了威胁情报，因为它有助于在海量数据、警报和攻击中对威胁进行优先级排列，并提供可操作的信息。
下表给出了几种可以由威胁情报源进行识别的常见的漏洞指标：
类别：网络
漏洞指标：
实例：恶意软件感染与已知的不法分子进行通讯的目标内部主机
类别：电子邮件
漏洞指标：
发件人邮件地址和邮件主题
邮件中的附件
邮件中的链接
实例：网络钓鱼通过内部主机尝试点击毫无戒心的电子邮件，并回传至恶意的命令与控制服务器
类别：基于主机
漏洞指标：
文件名和文件哈希表（例如MD5）
动态链接库（DLL）
互斥对象名
实例：来自可能会自我感染或已经感染的主机的外部攻击
威胁情报能力
攻击可以大致归为基于用户、基于应用程序和基于基础设施的威胁。一些最常见的威胁包括SQL注入、DDoS、web应用攻击和网络钓鱼攻击等等。
拥有一套可以提供情报能力通过主动出击和及时响应来管理这些攻击的安全解决方案是至关重要的。攻击者不断改变其方法来挑战安全系统。因此，对于各单位来说，就不可避免地要从各种各样的来源获取威胁情报。
一种被证明行之有效的掌控攻击的方法，就是通过安全信息和事件管理系统（SIEM）来发现和应对威胁。安全信息和事件管理系统可以用来追踪环境中所发生的一切，识别异常活动。孤立事件可能看起来无关紧要，但与事件和威胁情报关联起来，你会发现环境中到底发生了什么。
如今，IT安全专家必须要在假定发生数据泄露的心态下工作。比较威胁情报中针对已知不法分子的监控流量，来自有助于识别恶意活动。
然而，这样的措施可能需要手动操作，而且耗时耗力。将基于威胁情报的指标集成到一套安全信息和事件管理系统安全解决方案，将有助于识别受损系统，甚至可能阻止部分攻击。
通过整合威胁情报和应对袭击对抗格局不断变化的威胁是远远不够的。你需要分析形势，确定可能面临的威胁，在此基础上提出预防措施。
这里有几条最佳实践谨供参考：
拥有一份应用程序白名单和黑名单。这会有助于防止恶意的或未经批准的程序的执行，包括DLL文件、脚本和安装程序。
仔细检查日志，看看未遂袭击是不是孤立事件，或者该漏洞之前是否被利用过。
确定未遂攻击中发生了哪些变更。
审计日志并确定此事件为什么事件发生——原因可以大到系统漏，小到驱动过时。
威胁情报为安全信息和事件管理系统带来了什么
类似SolarWinds日志事件管理器之类的安全信息和事件管理系统从监控流量中收集和规范日志数据，并对可疑事件自动进行标记。
有了集成威胁情报机制和内置规则，监控事件可以对不断更新的已知威胁列表进行比对。
您可以通过实时日志数据快速搜索并监控来自攻击的点击，识别常见的漏洞指标。
您可以对已知恶意IP地址自动响应，以防恶意攻击的企图。你正在使用的浏览器版本过低，将不能正常浏览和使用知乎。威胁情报 - 中国软件网
| 标签：威胁情报 总共有 6 条记录
这两年RSA的主题都在向外界传达一个信号：连接与协同。2016年的主题是connect∵to∵protect，强调用连接去保护网络安全；今年的主题“Power∵Of∵OpportUNITY”更加直接，将“UNITY”...
评论(0) & &
威胁情报应该包括三个部分：情报的生产、情报的传输与共享以及情报的消费。
评论(0) & &
一款产品的发展，都是从解决基础问题进化到解决复杂问题，是一个由粗到精的过程。
评论(0) & &
日到14日，以“聚力、赋能”为主题的2016年阿里安全峰会在北京国家会议中心隆重举行。会议云集了国内信息安全领域最强阵容，网信办、公安部、工信部等主管部门悉数出席，...
评论(0) & &
日前，RSA∵2016于本月29日在美国旧金山召开，数百家来自全球的信息安全厂商参会。根据参会与威胁情报有关公司的专业方向，数据及研究能力，服务内容和服...
评论(0) & &
日，在北京展览馆举办的第三届首都网络安全日活动现场，启明星辰正式对外发布“泰合安全威胁分析合作计划”(简称“泰合团”计划)，引领了SOC安管平台开放、连接、协同的发...
评论(0) & &
| &京ICP备号-1 | 京公网安备65号|&您的位置：
认识威胁情报系统
一、背景当前网络空间安全形势非常复杂，入侵手段不断攀升，比如匿名网络(The Onion Router简称Tor)、网络跳板、僵尸网络(Botnet)、恶意URL地址等方式在网络攻击者大量使用，发现困难、追踪更难，这些都攻击手段的出现带来了新的挑战。传统方法往往只能获取局部攻击信息，无法构建出完整的攻击链条，网络空间希望有类似国际刑警组织能够获取到各地网络中的威胁信息，从而为网络攻击检测防护、联动处置、信息共享提供一个决策信息平台。近几年在网络安全领域逐步兴起的威胁情报(Threat Intelligence)分析为网络态势感知提供了技术支持。所谓威胁情报系统就是在网络空间里，找出网络威胁(各种网络攻击)的直接或间接证据，这些证据就隐藏在大量威胁源中，系统会在海量数据中甄别出你感兴趣的内容，要理解威胁情报系统所做的工作还必须对攻击事件有所了解。当发生网络入侵事件后，网管首先要确定入侵源，实现这一目的主要通过日志、流量(异常流量意味着某种攻击活动，如内网主机在与某僵尸网络进行通讯)。要实现威胁情报分析，首先需要它能够实现态势感知，能理解威胁并能够预测即将呈现的状态，以实现决策。二、攻击事件分析网络中没有单纯的攻击事件，很多网络攻击由一系列事件所组成，通常为有序的或相互依赖的多个步骤，通常大家只会关注某一个事件，很难从全局上看问题。下面举个入侵事件的例子，黑客利用漏洞(CVE -)特权提升，对Web服务器进行入侵，获得Web服务器的本地访问权限，由于Web服务器可连接到NFS服务器，黑客还修改了文件服务器中的数据，一旦黑客掌握了NFS服务器的控制权，便可以文件服务器上安装木马，待安装完成，便等待一名内部用户在该工作站上运行这个事先已安插好的木马，一旦用户激活木马，黑客进一步获得更高级别的控制权，企业内部资料就这样源源不断的被秘密传输到指定的地点，这就是常说的APT攻击，这种攻击持续很长时间，能穿越了各种厂家的设备，不易被发现。大家平时工作中遇到类似这样的入侵问题，大多都是猜测，对这种潜在攻击活动的感知能力十分有限(因为大家都没有在网络中间部署分布式的IDS传感器)，这时利用IDS系统能提前对这种异常行为在故障发生前，发出预警信息，这也是威胁情报源的一种类型。三、安全威胁情报安全威胁情报(Security Threat Intelligence)，它是网络安全机构为了共同应对APT(Advanced Persistent Threat高级持续性威胁)攻击，而逐渐兴起的一项热门技术，它实际上是我们从安全服务厂商、防病毒厂商、和安全组织得到安全预警通告、漏洞通告、威胁通告等。这些信息用于对网络攻击进行追根溯源，这些信息由安全厂商所提供，数据来源则是通过收集大量基础信息、监测互联网流量，或将客户的网络也纳入检测的范围，以获得该客户的特定安全情报信息。然后利用蜜网、沙箱、DPI等技术进行数据分析加工，最终形成报告。这些数据深度加工任务只有专业安全厂商才能做到，对于传统企业来讲，无法达到专业厂家的实力，主要还是收集内部网络的威胁信息源，订阅各种安全威胁情报信息和漏洞信息，但汇总、分析这些信息的工作就落到安全人员身上，执行的效果完全取决于专业能力。四、技术框架威胁情报系统的技术框架如图1所示，从图中可看出它包含了内部威胁和外部威胁两个方面的共享和利用。图1 威胁情报系统总体框架外部威胁情报主要来自互联网已公开的情报源，及各种订阅的安全信息，漏洞信息、合作交换情报信息、购买的商业公司的情报信息。公开的信息包含了安全态势信息、安全事件信息、各种网络安全预警信息、网络监控数据分析结果、IP地址信誉等。在威胁情报系统中能够提供潜在的恶意IP地址库，包括恶意主机、垃圾邮件发送源头与其他威胁，还可以将事件与网络数据与系统漏洞关联，全球IP信誉显示如图2所示。图2 全球IP信誉显示在图1中显示的合作交换的信息主要来自安全厂商的固定客户，比如AlienVault公司的OSSIM USM可将客户上报的威胁汇聚为一个威胁数据库在云端共享，其他客户可以共享这些情报，好处是，只要有一个客户在内网中发现了某种威胁，并上报便可通过网络立即跟其他客户分享。只要在系统中发现可疑IP，立即通过威胁系统里的IP信誉数据库能够发现到该恶意IP的信息，详情如图3所示。图3 通过IP信誉查询的恶意IP的情报信息内部威胁情报是相对容易获取的，因为大量的攻击来自网络内部，内部威胁情报源主要是指网络基础设施自身的安全检测防护系统所形成的威胁数据信息，有来自基础安全检测系统的也有来自SIEM系统的数据。企业内部运维人员主要通过收集资产信息、流量和异常流量信息、漏洞扫描信息、HIDS/NIDS信息、日志分析信息以及各种合规报表统计信息。五、威胁情报系统的选择与其他IT系统发展相比，网络威胁情报系统发展还处于初级阶段，但这个领域的主导厂商以国外的为主，包括FireEye、Cyveilance、IBM X-Force Exchange、LogRhythm、VeriSign、AlienV国内的360威胁情报中心和微步在线Threatbook从2015年刚起步，离一个完整、成熟的威胁情报平台还有一段路要走。如果您是正在关注威胁情报的企业，不要盲目加入威胁情报的行列，不要被销售人员夸夸其谈所吸引，还是要理性的看待问题。我认为前期首先利用开源软件来实现情报威胁系统，而这种功能的开源工具非OSSIM莫属，该系统中OTX所提供的功能可满足威胁情报系统的要求。OSSIM具体部署与使用大家可参考《开源安全运维平台-OSSIM最佳实践》一书。六、威胁情报利用说道威胁情报所发挥的作用，再接着看看APT攻击事件威胁情报利用。通常，APT攻击事件很可能持续很长时间，它在OSSIM系统中反映出来的是一组可观测到的事件序列，这些攻击事件显示出了多台攻击主机的协同活动，如图4所示，显示出在攻击检测中的价值。图4 一组网络攻击图与刑事犯罪取证类似，网络安全分析人员需要综合各种不同的证据，以查清互联网全球性攻击现象的根本原因。这种工作，往往很枯燥，非常需要耐心，在网上很难根据关键词来获取答案，主要依靠分析师的专业技能，它涉及攻击事件的若干不同维度的特征。对上述攻击，显示了9条关联出来的安全事件，如图5所示。图5 关联出的事件攻击图和告警关联工具可以结合在一起进行评估，告警关联关系工具可以把特殊的、多步攻击的零散报警，合理的组合在一起，以便把攻击者的策略和意图清晰的告诉安全分析人员。除了以上例举实例之外还有包括安全分析和事件响应，这里就不一一举例。七 总结本文主要通过实例例举介绍了个人对威胁情报系统的理解、威胁情报的分类及使用场景、选择适合的威胁情报系统等方面的问题，当然威胁情报应用的例子还远不止这些，这里只是例举了一些典型的例子，希望引起更多人的兴趣。如果您是正在关注威胁情报的企业，不要盲目加入威胁情报的行列，不要被销售人员夸夸其谈所吸引，从企业自身网络安全需求出发，理性的看待问题。（来源：51CTO,作者：李晨光）
作者的其他文章
关注作者的人