引言

威胁情报这个概念,自从2014年Gartner提出以后,安全圈就一直在提这个概念,也一直尝试应用这个技术来做一些文章,无论是加在各家的安全产品上做一些对撞,还是自己保留数据库存一些黑产数据,都取得了一些效果。

但每每提到威胁情报,我们普通人观之,就像吃饭扫过米其林、满汉全席、景区的茶叶蛋(误)一样,好像平时接触不到,偶尔想要用也要付出很大的成本。很多人懂web安全,懂渗透测试,懂流程,但是提到威胁情报,总觉得离自己很远,几乎不会用到。

当我们谈论威胁情报,对于一般的安全从业人员来说,其实并不知道到底在谈论什么,到底要怎么用。就像皇帝的新衣一样,大家都说陛下穿着衣服,凑个热闹,但是陛下到底穿没穿衣服,大家其实没那么关心。

IOC是啥

威胁情报的定义是什么呢?最早的援引应该是Gartner在2014年发表的《安全威胁情报服务市场指南》中提出的定义,即:

仔细看Gartner的定义,其实定义得很全面。但是普通人容易看得云里雾里,就像课本里的各种哲学定义,每个字都能看懂,但是一连起来可能就看不懂了。

说白了,威胁情报就是在被攻击是获取的信息,如:攻击者IP、攻击方式等。

我们在情报应用中, 主要使用各种攻击者相关的 “证据” 来进行威胁情报的应用, 也就是我们常说的 IOC (Indicators of Compromise) , 即失陷指标。

Last modification:December 18th, 2020 at 08:07 pm
如果觉得我的文章对你有用,请随意赞赏