很久没有更新的样子,翻来一篇美国金融公司的网络安全和威胁情报副总裁讲述的网络威胁情报的十大目标。虽然不能百分百符合国情,虽然不如那个情报金字塔那么明确和具备实操性的内容。但是从宏观上看,还是有一定的借鉴意义�����,一定程度上回答了,到底情报关注什么。
首先情报的来源比以往要多得多。例如有:
从涉及的层面看:
-
World Wide Web,最表层,公开,往往容易访问得到
-
Deep Web,不可搜索,动态的,私有的,短暂的
-
Dark Web,自定义的交换协议,往往有法律风险
从类型上看:
正因为这些数据众多,企业更应该对威胁情报的目标进行一个优先排序。因此建议通过三方方面来进�������行������排序:
YourCompany
最优先的四个威胁:
1)直接的风险,例如针对性的,确定的,(相关的)公共通用漏洞
2)间接的风险,供应商的,提供服务的或技术上有依赖关系的
例如硬件、软件的供应商的漏洞威胁,例如PC桌面,服务器,网络,手机,数据库等等的漏洞,还��������有提供服务的供应商,例如ISP,商业合作伙伴,提供设备的厂商,还有一些技术上的比如SSL、DNS、TLS漏洞。
3)攻击者,攻击运动(campaign),攻击工具,或者攻击的策�������略是针对你的公司或者部门的
好比年初那个Lizard Squad的DDoS的团伙攻击
4)内部的调查(�������leadership,corp communications,or te�������chnical areas)
Your Industry
5)影响着你行业里头多家公司的
6)影响着你行业里头大的公司或者领导者地位的公司的
7)影响着与你对应体量的公司(例如市场,规模相当,地域位置相仿等)
因为作者是针对他所在金融行业来说的,因此举的例子像ATM,PoS机病毒,像摩根,Bank of American等的例子都是他同行业里面比较好的佐证。
�����
Your Internet
8)大型的攻击运动(例如分布很广,有重要价值或者攻击水平很高的成功攻击)
9)已经或者预期会有引起至关重要的媒体关注
10)新出现的,至关重要的攻击者,攻击运动,工具或者攻击策略
这个原文的作者Russ Pierce有19年的从业经验,之前一直在通讯和金融服务公司从事�����安全相关的工作。现在是负责Cyber Security an����d Threat Intelligence的VP。其实如果一家情报公司提供的情报服务能如上所述,越往前面几点,或者说越直接跟企业相关的,估计也会越值钱。
