威脅情報摘要是外部資料串流,可協助安全團隊識別威脅。
閱讀本文後,您將能夠:
複製文章連結
威脅情報摘要是一串有關來自外部來源之潛在攻擊 (稱為"威脅情報") 的資料串流。 組織可以使用威脅情報摘要來保持安全防禦的最新狀態,並準備好面對最新攻擊。
新聞網站上的新聞提要或社交媒體平台上的 Feed 都會顯示持續更新:新內容,新聞片段,對開發故事的變化等等。 同樣地,威脅情報摘要也是持續更新的威脅資料來源:入侵 指標 (IoC)、可疑 網域、已知的 惡意程式 碼特徵等。
威脅情報摘要也可以與軍事偵察進行比較。 軍隊可能會使用有關敵軍正在做什麼的信息來做出有關設置防禦的決定。 同樣地,威脅情報摘要可協助安全團隊為目前和未來的網路攻擊做好準備。
某些威脅情報摘要是機器可讀取的;安全性資訊和事件管理 (SIEM) 系統和其他安全工具可直接使用這些摘要。 其他人則供人食用,使安全團隊能夠採取行動並做出決策。
許多威脅情報摘要都是免費且開放原始碼的,以促進廣泛的威脅預防。 某些威脅情報摘要是專有的,僅供付費客戶使用。
"威脅"可以被定義為可能導致未經許可而導致數據被盜,丟失,移動或更改的操作。 該術語可以指可能的動作和實際動作。
如果查克偷了愛麗絲的電子郵件密碼並接管了她的收件箱,但還沒有對鮑勃這樣做,Chuck 仍然對鮑勃構成威脅。 愛麗絲可能想讓鮑勃知道查克做了什麼,這樣鮑勃就可以採取行動保護自己免受查克。 愛麗絲給了鮑勃一種簡單的威脅情報形式:留意"查克!"
但是要對安全工具和團隊有用,威脅情報必須比單純的"注意 Chuck 更詳細。" 有關潛在外部威脅的情報可以採取多種形式。
威脅情報摘要中的資訊可能來自一系列來源,包括:
威脅情報摘要供應商會編譯此資訊,將資訊新增至其摘要,然後分發資訊。
最新信息: 網絡犯罪分子希望他們的攻擊成功。 出於這個原因,他們不斷改變和擴大他們的戰術,以擺脫防禦。 設置為阻止去年攻擊的組織可能會受到今年的攻擊策略的影響。 因此,安全團隊希望獲得最新的數據,以便通知他們的防禦措施並確保他們可以阻止最新的攻擊。
更廣泛的資訊: 威脅情報摘要提供廣泛的資料。 回到我們的例子中,鮑勃過去可能阻止 Chuck 竊取他的電子郵件收件箱,但是如果愛麗絲通知他查克的最新攻擊,那麼 Bob 知道如何阻止他之前面臨的攻擊和針對愛麗絲的攻擊。 同樣地,威脅情報可讓組織減輕更多種類的威脅。
更高的效率: 從外部來源獲取威脅情報可讓安全團隊投入更多時間來阻止攻擊,而不是收集數據。 安全專業人員可以做出決策並部署緩和措施,而不是收集做出這些決策所需的資訊。 像 WAF 這樣的安全工具可以在實際面對攻擊之前學習識別攻擊。
STIX 和 TAXII 是共用威脅情報的兩種標準。 STIX 是一種格式化威脅情報的語法,而 TAXII 則是散佈此資料 (如 HTTP) 的標準化 通訊協定 。 許多威脅情報摘要都使用 STIX/TAXII 來確保其資料可以被各種安全工具廣泛解讀和使用。
Cloudflare 可以保護全球大部分網站(每秒處理一百 60 萬個 HTTP 請求),使 Cloudflare 能夠分析有關網絡流量和攻擊模式的大量數據。 這些資料會轉換為完成、可行的威脅情報,並隨時可以擷取到安全工具中 (透過 STIX/TAXII)。
Cloudflare 透過其雲力一服務提供此威脅情報摘要。 Cloudforce One 由經驗豐富的研究團隊領導,破壞了世界各地的網絡攻擊者。 進一步瞭解雲力一號。