威胁情报反馈是帮助安全团队识别威胁的外部数据流。
阅读本文后,您将能够:
复制文章链接
威胁情报源是来自外部来源的有关潜在攻击的数据流(称为"威胁情报" )。 企业可以利用威胁情报反馈来保持其安全防御系统的更新,并准备好面对最新的攻击。
新闻网站上的新闻提要或社交媒体平台上的提要都显示持续的更新:新的内容、新的新闻作品、发展中的故事的变化,等等。 同样,威胁情报馈送是一个不断刷新的威胁数据来源: 损害指标(IoC),可疑 域,已知 恶意软件 签名,等等。
威胁情报的反馈也可以与军事侦察相提并论。 一支军队可能会利用关于敌方部队正在做什么的信息来做出设置防御的决定。 同样地,威胁情报反馈帮助安全团队更好地准备应对当前和未来的网络攻击。
一些威胁情报馈送是机器可读的;这些馈送可由安全信息和事件管理(SIEM)系统和其他安全工具直接消费。 还有一些是为了供人使用,使安全团队能够采取行动并作出决定。
许多威胁情报源是免费和开放的,以促进广泛的威胁预防。 一些威胁情报资料是专有的,只提供给付费客户。
"威胁" ,可定义为可能导致数据被盗、丢失、移动或未经许可被更改的行为。 这个词既可以指可能的行动,也可以指实际行动。
如果查克已经窃取了爱丽丝的电子邮件密码并接管了她的收件箱,但还没有对鲍勃这样做,查克仍然对鲍勃构成威胁。 爱丽丝可能想让鲍勃知道查克做了什么,这样鲍勃就可以采取行动保护自己不受查克伤害。 爱丽丝给了鲍勃一个简单的威胁情报形式:"注意查克!"
但是,为了对安全工具和团队有用,威胁情报必须更加详细,而不是简单地",注意查克。" 。 关于潜在外部威胁的情报可以有几种形式。
威胁情报资料中的信息可能来自一系列来源,包括:
威胁情报源供应商汇编这些信息,将其添加到他们的信息源中,并将其分发。
最新的信息: 网络犯罪分子希望他们的攻击能够成功。 出于这个原因,他们不断改变和扩大他们的战术,以便绕过防御。 为阻止去年的攻击而设置的组织可能会被今年的攻击手段所破坏。 因此,安全团队希望得到最新的数据,以便为他们的防御提供信息,确保他们能够阻止最新的攻击。
更大的信息广度: 威胁情报反馈提供了广泛的数据。 回到我们的例子,Bob过去可能已经阻止了Chuck窃取他的邮箱,但如果Alice通知他Chuck的最新攻击,那么Bob就知道如何同时阻止他之前面对的攻击和针对Alice的攻击。 同样,威胁情报使企业能够减轻更多种类的威胁。
更高的效率: 从外部来源获取威胁情报,使安全团队能够将更多的时间用于阻止攻击而不是收集数据。 安全专业人员可以做出决定并部署缓解措施,而不是收集做出这些决定所需的信息。 而像 WAFs这样的安全工具 ,可以在实际面对攻击之前学会识别攻击。
STIX和TAXII 是两个共同用于共享威胁情报的标准。 STIX是一种格式化威胁情报的语法,而TAXII是一种标准化的 协议 ,用于分发这些数据(如 HTTP)。 许多威胁情报源使用STIX/TAXII,以确保其数据可以被各种安全工具广泛解释和利用。
Cloudflare保护着世界上很大比例的网站(每秒处理 60 万个HTTP请求),使Cloudflare能够分析关于网络流量和攻击模式的大量数据。 这些数据被转换为成品的、可操作的威胁情报,可随时被纳入安全工具(通过STIX/TAXII)。
Cloudflare通过其Cloudforce One服务提供这种威胁情报反馈。 在经验丰富的研究团队的带领下,Cloudforce One破坏了世界各地的网络攻击者。 了解更多关于Cloudforce One。