防护体系落后与技术发展,防护体系的新要求:
- 发现攻击事件
- APT定点攻击
- 组织间的内部协同
- 产品和产家的跨平台协同
威胁情报:网络安全=风险管理。
目的:知彼
内容:威胁源,攻击目的,攻击手法,利用漏洞,COA
应用场景:对于攻击者,反溯源,攻击技术的完善,攻击发现躲避,假旗行动。
对于防御者,溯源,快速分析响应,行为异常分析,攻击预测,日志分析辅助。
威胁情报可能改变攻防态势:加大攻击成本,降低防御成本,攻防是战略上的对抗,战术上的情报对抗。
威胁情报已经形成相对完善的国际标准:openc2,TAX2,Cybox。
威胁情报服务:结构文档:漏洞报告,漏洞样本分析。界面奇偶奥胡:溯源交互,回溯展现,设备互动。FEED:C2/APT/钓鱼/样本Hash,Tor,snort规则,YARA规则。
漏洞发现:扫描,本机内部发现。
链接协同是信息安全一个重要的方向。