@火凤凰
3年前 提问
1个回答
什么是威胁情报
007bug
3年前
什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。
接下来说威胁情报有什么用?威胁情报给谁用?
从个人角度,如果提供代理IP,刷流量的人想要(绕过IP限制);如果提供僵尸网络IP,安全防御者想要,其实攻击者也想要,攻击者要的总是比防御者多,所以Ta们更能达到目的。从公司角度而言,先说项目之间,做WAF的、做扫描器的、做漏洞管理平台的可以交换漏洞信息,做杀毒的和入侵检测的可以交换恶意样本信息,做业务欺诈的和做网络攻防的可以交换IP信誉信息,这些都是为了做到内部资源(扫描器,WAF,IPS等安全组件)甚至外部资源(开源资源集合、厂商资源交换)的整合(现状是公司越大,这些信息越碎片化),整合才能起到协同防御的效果,才能有能力地进行深度分析去发现真正有价值的攻击事件与高级的难以发现的APT定点攻击事件。