@scream
2年前 提问
1个回答

威胁情报在防护、溯源和响应领域有什么价值

Anna艳娜
2年前

威胁情报在防护、溯源和响应领域的价值体现在:

  • 在防护领域价值:能在防护层面起到很好的作用,在提供基础DNS解析服务基础上,还具备安全增值的能力,能够帮助企业拦截钓鱼、勒索、挖矿等反连问题。当有恶意地址的请求出现,威胁情报会进行实时阻断,并通知相关管理人员。

  • 在响应领域价值:通过威胁情报能够掌握威胁事件对应的家族、目的、相应的危害度,感染后的现象,并提供处置建议。只需利用特征分析,流量载荷研判,即可发现网络失陷主机,自动化识别目的性黑客的攻击意图,及时进行自动阻断,或联动第三方安全设备,打通处置流程,帮助企业实现快速响应。

  • 在溯源领域价值:主要是通过威胁情报追踪IP、域名,发现攻击者留下的痕迹,从而分析出攻击者的TTPs战略战术及过程,一旦攻击者的TTPs档案建立,攻击者的行为就很容易被追踪到。而这样的效果是很难通过SIEM、SOC等一般的安全产品短期内实现的。