威胁情报那些事儿
|
副标题[/!--empirenews.page--]
【新品产上线啦】51CTO播客,随时随地,碎片化学习
前两年大热的电视剧《伪装者》中,提到了一份“死间计划”,这一幕在战场曾真实发生过。二战中,盟军依靠计算机之父图灵破解了德国的密码,得知德国马上要对考文垂进行轰炸。但是为了争取更大的决定性胜利,盟军选择不让德国人知道己方已经破译了其密码。因此盟军方面没有对考文垂进行有针对性的的防御措施。于是德国人相信其密码依然是安全的,从而一步步走进了盟军的圈套。 在威胁情报中,安全公司同样运用类似的方法和黑客斗法。例如:穿梭于各大安全论坛,装作黑客的样子,开心地与之讨论最近哪种攻击方式最流行,有哪些漏洞可以利用。然后回家修补漏洞。 一、威胁情报 21世纪已经步入科技时代、互联网时代,在这个时代,我们获得了太多的便利。借助互联网,似乎只有我们想不到的,没有搜不到的。互联网时代下的网络,集合了各类数据,为当下的生产生活提供了参考指南。然而任何事物的发展,从来都不会是一蹴而就的,也都不是一帆风顺的。我们在正视网络带来的诸多好处的同时,也应理性、冷静对待同时带来的一些弊端。 当前,网络空间的广度和深度不断拓展、安全攻防战日趋激烈,传统的安全思维模式和安全技术已经无法有效满足政企客户安全防护的需要,新的安全理念、新的安全技术不断涌现,当前的网络安全正处在一个转型升级的上升期。 1. 传统网络防御 传统网络安全防护手段主要采取攻击行为感知、收集与分析、通报等防御手段,通过部署防火墙、入侵检测系统等安全产品,配置相应访问控制策略和审计策略,对网络安全状况进行监测。当发生网络安全事件时,采取应急响应和地域措施,事后进行备份与恢复操作。虽然这种防护模式能抵御一定的网络安全攻击,但仍具有滞后性,事件处理效果受限于安全事件的识别能力、响应速度及时候数据备份与恢复的效率。 目前,安全界普遍认同的一个理念是:仅仅防御是不够的,被动的“挨打”永远不会是解决之道,要想保证自身的安全,需要拿起武器,主动反击。在这样的反击战中,所谓“知己知彼,百战不殆”,实时掌握对方形势动态,才能更好的响应与应对。安全情报,就像是八百里加急快报送来的敌情。 2. 安全情报与威胁情报 安全情报(Security Intelligence)是一个宽泛的概念,主要包括了威胁情报、漏洞情报、事件情报以及基础数据情报。其中,威胁情报已然成为近几年国内外安全领域的热点。这里的“情报”既是知识,也是载体,既是输入,也是输出。
如果将威胁情报单纯的理解为“敌情”和“知彼”,安全情报在这个基础上还需要关注“我情”和“知己”,因此安全情报也可以被称为“广义威胁情报”。 3. 威胁情报重要性 信息安全教主级公司Gartner认为,威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现的针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。简言之,威胁情报可以帮助企业和组织快速了解到敌对方对自己的威胁信息,从而帮助他们提前做好威胁防范、更快速地进行攻击检测与响应、更高效地进行事后攻击溯源。 具体来说,威胁情报可以帮助人们解决如下问题:
“所有的系统一定可以被入侵。”这是威胁情报专家,Sec-UN网站创始人金湘宇给出的“悲观论断”。他认为,互联网攻击的技术在不断提高,而所有的系统都存在漏洞,避免被攻击在逻辑上并不成立。 原来认为网络安全就是做木桶,只要补上短板就可以高枕无忧,现在发现安全玩的是塔防,要实时应对到来的威胁。往往网站信息泄露数天之后,被攻击者才得知自己遭受攻击,这样的攻防已经完全失衡了。 因此,可以想象一份及时、精准的威胁情报对于网络防御是多么的重要。通过威胁情报,企业会对未来的攻击拥有免疫力,这就彻底改变了原本的攻防态势。原来也许黑客可以用上整整一年的攻击手段,一旦进入威胁情报,就被重点监控。如果攻击者第二次还在用同样的后门,就等于主动跑到了探照灯下羊入虎口,你还死不死? 小编联想到之前某个论坛上有“大神”爆料,目前美国正在有计划有组织地曝光其他国家对其基础设施发动的攻击。这句话让人细思极恐,这表明美国或许已经拥有了一份精准的威胁情报,对其攻击者的攻击路径已经了如指掌。为了不打草惊蛇,其中有60%—70%的攻击路径,美国并没有曝光,目的就是给对手造成一种假象。没错,美国正在静静地看着对手“表演”。 4 .威胁情报处理流程
二、威胁情报厂商 根据真实事件改编的电影《斯诺登》中的一句话,“Secrecy is security and security is victory”,其中的含义不言而喻。 (编辑:济源站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
