纳尼?威胁情报是什么鬼?
互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御者有侦查有战术的局面——无论是攻击还是防御,都超越了点对点的战术,而越来越倚仗于全面的战法。简单来说,就是搞安全的不仅要看编程指南,还要看孙子兵法了。
既然是正规军对垒,战法就要变得相对立体。所谓知己知彼,百战不殆。威胁情报,就像是八百里加急快报送来的敌情。
先来看看信息安全教主级公司Gartner怎么解释威胁情报:
威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为的,基于证据知识的,包含情境、机制、影响和应对建议的,用于帮助解决威胁或危害进行决策的知识。
由于安全行业的特殊性,各位大神对自己经手的安全事件和服务对象守口如瓶,不过,他们提出了一些理念,还是让人觉得新鲜有趣。
攻击只需数分钟防御却需数天
木桶理论失衡,现在玩的是塔防
“所有的系统一定可以被入侵。”这是威胁情报专家,Sec-UN网站创始人金湘宇给出的“悲观论断”。他认为,互联网攻击的技术在不断提高,而所有的系统都存在漏洞,避免被攻击在逻辑上并不成立。
原来认为安全就是做木桶,只要补上短板就可以高枕无忧,现在发现安全玩的是塔防,要实时应对到来的威胁。以目前的网速来看,拖库的攻击甚至在一天内就能搞定,往往是网站信息已经泄露到了网上,被攻击者才得知自己遭受攻击,这样的攻防已经完全失衡了。所以做应急响应的关键,实际上是在努力减少攻击者的“自由攻击时间”。
通俗来讲,自由攻击时间就是在被打者反应过来之前,进攻者可以肆无忌惮出拳的时间段。
蓝色时间段为“自由攻击时间”
知道了自己被攻击,好歹还可以断电嘛。被爆菊后还无动于衷,该是多么悲伤啊。
锦囊里有什么?
中国信息安全评测中心首席信息安全咨询师蒋鲁宁说,只有情报收集者能够采取应对行动的情报,才是真正意义上的情报,否则就仅仅是一种知识。所以,可以说安全企业提供的威胁情报不仅是一份报告,还应该包括可以应对的锦囊妙计
常见的网络安全威胁情报清单
根据上图的情报分类,不难推断出一般企业面临较多的威胁有哪些。除去打击黑客的攻击威胁之外,品牌舆情也是企业较看重的。也就是说,情报的收集,已经不仅仅局限于安全领域,甚至可以拓展到企业的社会评价,甚至是舆论走向预测。例如,锤子发布T1的时候,如果提前进行威胁侦查,就可能会知道:产能严重不足将导致一**口诛笔伐的到来。
