威胁情报是什么

威胁情报是什么

情报(intelligence)一词英文的原意是“瞭解的能力”(the Faculty of Understanding)，从传统情报机构的立场上，情报的本质则是“减少冲突的不确定性”。对情报的重视古已有之，《孙子兵法》中所说“知己知彼，百战不殆”讲的就是情报的重要性，情报就能帮助你做到知彼。在网络空间的战斗中，情报同样有着至关重要的地位：知己：更丰富的组织环境数据，也就是这几年经常提到的环境感知能力。通过“知己”，我们可以快速的排查误报，进行异常检测，支撑事件响应活动，在这里不再多言。知彼：关于攻击对手自身、使用工具及相关技术的信息，即威胁情报，可以应用这些数据来发现恶意活动，以至定位到具体的组织或个人。作为一种攻防间的对抗活动，威胁情报工作其实从开始的时候就存在了：回想一下IPS或者AV的签名，其中很大一部分不就是针对攻击者使用的攻击工具的吗，IP及域名的信誉库也是同样。威胁情报，是面向新的威胁形式，防御思路从过去的基于漏洞为中心的方法，进化成基于威胁为中心的方法的必然结果，它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。近年来，国内外已经出现了多家做威胁情报业务的公司，列举一些比较有名的：国外：SecureWorksVirusTotalThreatGridCaspidaAlienValutCrowdStrikeLookingGlassiSight PartnersThreatStreamThreatConnectIkanowSqrrlEndgameLastlineFireEyeiDefense国内：ThreatBookVirusbook