情报(intelligence)一词英文的原意是“瞭解的能力”(the Faculty of Understanding),从传统情报机构的立场上,情报的本质则是“减少冲突的不确定性”。对情报的重视古已有之,《孙子兵法》中所说“知己知彼,百战不殆”讲的就是情报的重要性,情报就能帮助你做到知彼。在网络空间的战斗中,情报同样有着至关重要的地位:
知己:更丰富的组织环境数据,也就是这几年经常提到的环境感知能力。通过“知己”,我们可以快速的排查误报,进行异常检测,支撑事件响应活动,在这里不再多言。知彼:关于攻击对手自身、使用工具及相关技术的信息,即威胁情报,可以应用这些数据来发现恶意活动,以至定位到具体的组织或个人。
作为一种攻防间的对抗活动,威胁情报工作其实从开始的时候就存在了:回想一下IPS或者AV的签名,其中很大一部分不就是针对攻击者使用的攻击工具的吗,IP及域名的信誉库也是同样。
威胁情报,是面向新的威胁形式,防御思路从过去的基于漏洞为中心的方法,进化成基于威胁为中心的方法的必然结果,它和大数据安全分析、基于攻击链的纵深防御等思想正在形成新一代的防御体系的基石。
近年来,国内外已经出现了多家做威胁情报业务的公司,列举一些比较有名的:
国外:
SecureWorks
VirusTotal
ThreatGrid
Caspida
AlienValut
CrowdStrike
LookingGlass
iSight Partners
ThreatStream
ThreatConnect
Ikanow
Sqrrl
Endgame
Lastline
FireEye
iDefense
国内:
ThreatBook
Virusbook
本文来自作者[admin]投稿,不代表泰博号立场,如若转载,请注明出处:https://staplesadv.cn/ds/72928.html
评论列表(3条)
我是泰博号的签约作者“admin”
本文概览:情报(intelligence)一词英文的原意是“瞭解的能力”(the Faculty of Understanding),从传统情报机构的立场上,情报的本质则是“减少冲突的不...
文章不错《威胁情报是什么》内容很有帮助