威胁情报

2020年1月17日 11:54 - 威胁分析 - 情报环模型 - 生成情报 - 建立调查 - 采集、处理数据 - 数据处理 - 富化信息 - 评估损害 - 生成情报 - 共享情报 - 反馈 威胁分析 威胁分析的目的是通过分析异常信息，生成可供事件响应模块使用的威胁情报。 安全分析在整个体系建设中的难点。原因在于不像安全基线和事件响应有明确的预期和肉眼可见的效果。威胁分析难以量化且是对使用者来说是个黑盒，使用者无法预料到威胁分析会有哪些产出物，以及对产出物没有衡量标准。 无论是采集到的网络行为、系统告警、未知md5，这些都是当前系统观测到的信息，这些信息或许能作为一个线头向下挖掘，但是实际挖掘过程中。入侵者可能已经建立了多个据点，也有可能只是误导防御方的佯攻。很有可能刚牵出线头线索就中断了。威胁分析模块基于这些蛛丝马迹的信息管中窥豹。所以大部分APT分析类的产品在演示时都展示得特别美好，而在使用后难有较好的效果。 威胁分析的算法和设计不是我擅长的。所以想讨论的内容还是威胁分析在安全自动化体系中的地位，和如何实现从数据->信息->情报->策略的工作流程。 一个情报从生成到被使用的全流程 数据 在建立安全基线的阶段，围绕资产生成了不少数据，包括资产的位置、资产的合规状态、资产的安全风险、资产已经配置的防护策略、资产的备份、恢复策略等，这些都是数据，在没有任何入侵活动发生的时候

驱动 2020/1/4 凌晨3点左右，我还在因为想通一个纠结已久的问题而兴奋得睡不着。这种兴奋没有持续多久，就被一种略带失望的复杂情绪代替，因为纠结多日的问题早已被人解决并已应用。 这种情况曾出现过多次，虽然痛并快乐，但要一直下去也着实让人受不了。秉着多交流少走弯路的精神。最终我决定将我19年里来对于安全防护体系、IACD、SOAR、SCAP等标准的学习和思考记录下来，希望能多交流或在这个过程中形成新的启发。 这些内容不一定全部正确，但大部分都能从我收集到的资料找到印证。 这一系列博客，将分享如下的内容： 情报驱动的安全自动化：系统简介 分与合（个人感想） 安全基线：安全基线应该建设哪些内容 威胁分析：从采集信息到威胁情报生成 事件响应：将情报转化成行动方案 威胁情报：情报的传播和使用 希望这些内容能够将多种标准和体系串联起来，指导安全防护体系和安全自动化的落地。 其想解决的问题为： 1、在特征库落后的情况下，如何通过体系化的系统实现对未知威胁的检测和响应 2、如何利用外部的威胁情报构建自身免疫能力 新型和未知的威胁一直是网络安全防护的难点，防守方总是落后于进攻方。如何发现新型的威胁、及时阻断威胁、传播威胁信息以免危害扩大化？成了安全防护体系的核心。情报驱动的安全自动化，试图通过一套完整的处理流程来解决这个问题： 建立安全基线——>检测异常指标——>富化威胁情报——>生成行动方案—