我们正在处理威胁情报 系列 职位 在博客上. 早些时候,我们讨论了这个策略是如何运作的; 我们指出要遍历的循环才能到达它。
今天,我们将帮助您思考不同类型的威胁情报。 您将看到它们中的每一个都对信息安全方面的目标或业务现实做出响应。
跟进!
3种威胁情报
威胁情报通常分为三个子类别:
- 战略 — 通常针对非技术受众的更广泛的趋势;
- 战术 — 为技术含量更高的受众提供威胁参与者的战术、技术和程序的概述;
- 操作 — 有关特定攻击和活动的技术细节。
查看下面每个子类别的细分!
1. 战略威胁情报
战略威胁情报提供了对组织威胁形势的广泛概述。 它旨在为组织中的高管和其他决策者做出的高级决策提供信息——因此,内容通常不太技术性,而是通过报告或简报呈现。
良好的战略情报应提供对某些领域的洞察力,例如与某些行动方案相关的风险、威胁参与者的战术和目标的广泛模式以及地缘政治事件和趋势。
战略威胁情报的常见信息来源包括:
- 来自民族国家或非政府组织的政策文件;
- 来自地方和国家媒体、行业和特定主题的出版物或其他主题专家的新闻;
- 安全组织制作的白皮书、研究报告和其他内容。
生成强大的战略威胁情报从定义情报要求的具体、集中的问题开始。 还需要具有典型网络安全技能之外经验的分析师,特别是对社会政治和商业概念有深刻理解的分析师。
虽然最终产品不是技术性的,但产生有效的战略情报需要通过大量数据进行深入研究,通常采用多种语言。
这会使数据的初始收集和处理非常难以手动执行,即使对于那些具有正确语言技能、技术背景和技能的稀有分析师也是如此。
因此,自动化数据收集和处理的威胁情报解决方案有助于减轻这种负担,并允许经验不足的分析师更有效地工作。
2. 战术威胁情报
战术威胁情报描述了威胁参与者的战术、技术和程序。 它应该帮助防御者具体了解他们的组织如何受到攻击以及防御或减轻这些攻击的最佳方法。
它通常包括技术背景,供直接参与组织防御的人员使用,例如系统架构师、管理员和安全人员。
安全供应商生成的报告通常是获取战术威胁情报的最简单方法。
积极在报告中查找有关攻击者正在使用的攻击媒介、工具和基础设施的信息。 包括有关针对哪些漏洞的详细信息,攻击者正在利用哪些漏洞,以及他们可能使用哪些策略和工具来避免或延迟检测。
3. 运营威胁情报
运营情报是关于网络攻击、事件或活动的知识。 它提供专家见解,帮助事件响应团队了解特定攻击的性质、意图和时机。
因为这通常包括技术信息——例如正在使用的攻击向量、正在利用的漏洞或正在使用的命令和控制域——这种类型的情报也称为技术威胁情报。
技术信息的一个常见来源是威胁数据源,它通常专注于单一类型的指标,例如恶意软件哈希或可疑域。
但是,如果严格认为技术威胁情报源自技术信息,例如威胁数据馈送,技术和运营威胁情报并不完全是同义词——更像是具有大量重叠的维恩图。
有关特定攻击的其他信息来源可能来自封闭来源,例如通过渗透或侵入这些通信渠道来拦截来自威胁组的通信。
因此,收集这种情报存在一些障碍:
- Acesso — 威胁组织可以通过私人加密通道进行通信,或者需要一些身份证明。 位于国外的威胁团体也存在语言障碍。
- 噪音 — 从聊天室和社交媒体等大容量来源手动收集优质情报可能很困难或不可能。
- 混淆 — 为了避免被发现,威胁组织可能会采用混淆策略,例如使用别名。
依靠机器学习过程进行自动化大规模数据收集的威胁情报解决方案可以在尝试开发有效的威胁运营情报时克服其中的许多问题。
例如,使用自然语言处理的解决方案将能够从外语来源收集信息,而无需人类知识来破译它。
贵公司如何处理威胁情报的主题? 通过下载电子书深入了解这个概念 我们刚刚发布!
