网络安全威胁情报相关汇总

一次性付费进群，长期免费索取教程，没有付费教程。

教程列表见微信公众号底部菜单

进微信群回复公众号：微信群；QQ群：460500587

微信公众号：计算机与网络安全

ID：Computer-network

网络安全威胁情报

▼

威胁情报服务经常被当做一种外包能力的形式来使用，用来提供那些别的地方无法提供的，对高级安全议题的知识技能和资源的访问权。 有资历的威胁情报人员经受过广泛的训练，拥有特殊定制的工具，并且理解现代攻击者的思维方式和方法。

网络安全威胁情报之事件响应模型

▼

模型的目的是提供一个可以用来解释信息和生成情报的框架。 用于情报分析的模型多达数百个。 这些模型中的一部分是为了通用目的，有些是针对个人或特定用例开发的。

网络安全威胁情报之杀伤链

▼

杀伤链有助于企业安全事件响应的相关数据，让您可以直观地看到攻击发生的样子，这有助于识别攻击者行为中的模式。

网络安全威胁情报之事件响应周期

▼

事件响应周期由入侵检测和事件响应的主要步骤组成。这种模型的目标是审视未知类型的攻击（钓鱼、Web 入侵 、SQL注入等）并概括所有这些攻击的通用步骤。

网络安全威胁情报事件响应周期：查找

▼

“查找”这一阶段决定着情报和事件响应活动的起点。 在传统F3EAD循环的“查找”阶段，通常需要找出特定行动组织所觊觎的高价值目标，而情报驱动事件响应的F3EAD循环的“查找”阶段，则需要找出事件响应所针对的对手。

网络安全威胁情报事件响应周期：定位

▼

使用已识别情报、威胁数据，确定内部或外部攻击者位置的过程，被称为“定位”（fix）。 在F3EAD循环的“定位”阶段，由“查找”阶段收集的全部情报都应被投入使用，从而追查对手在您的网络中的活动迹象。

网络安全威胁情报事件响应周期：消除

▼

“消除”阶段不仅仅涉及删除系统的恶意软件，正因如此，我们才会在“查找”和“定位”阶段花费大量时间。 为了精准打击攻击者活动，理解攻击者作业过程、清除攻击所遗留的恶意软件及其衍生物、封堵通信渠道、清理据点、取消不必要的授权以及清理在定位阶段揭露出来的其他异常情况，这些都是非常必要的。 要想精准地消除对手，就需要深入了解攻击者，包括他们的动机和行为，只有这样，您才能充满信心地加强系统安全，夺回网络的控制权。

网络安全威胁情报事件响应周期：利用

▼

在F3EAD的背景下，“利用”是指使用运营过程中收集到的情报，并获得利益。 结合传统情报周期，“利用”阶段可以被认为是收集（尽管多为收集内部信息）与处理的组合，是为便于分析而将信息转换为可用格式的过程。

网络安全威胁情报事件响应周期：分析

▼

在“分析”阶段，我们需要获取数据和信息，将其加工为情报。 介绍分析的基本原理、以目标为中心的结构化分析模型，以及分派信任等级和解决认知偏见的过程。

网络安全威胁情报事件响应周期：传播

▼

调查总有结束的时候，这样就有足够时间为其他团队或企业形成有效输出。 我们将这一梳理、发布和分享已开发情报的过程称为传播。 与其他各类技能一样，传播能力的培养需要时间和流程。 即使情报再出色，也可能毁于糟糕的传播。 相对于几个小时的分析工作，写点儿东西似乎没什么了不起，但是，任何情报团队都应该集中精力，建立自己的信息传播能力。

威胁情报相关标准浅析

▼

STIX，TAXII，CybOX，MAEC，OVAL，CAPEC，OpenIOC，NIST SP 800-150，IODEF，MILE，GB/T 36643-2018。

微信公众号：计算机与网络安全

ID：Computer-network

【推荐书籍】