1. 什么是情报?

1.1. 情报的生命周期

  1. 规划
  2. 收集
  3. 处理
  4. 分析-----讲故事
  5. 传播-----报表、报告

1.2. 情报收集的难点:遭遇2种欺骗方式

  1. 拒止:阻止或降低敌方情报收集的能力
  2. 欺骗:制造假信息/垃圾信息掩盖真实的信息

2. 构建网络安全情报模型

2.1. 网络安全情报的定义

  • 基于证据,为资产所面临的现有或新兴威胁提供可付诸行动的信息

2.2. 一个标准的威胁情报信息包括:

  • 在什么时间
  • 出于什么目的
  • 对某个对象的某个 重要业务(资产)
  • 通过什么方式
  • 发起了一次或多次、成功或失败的攻击行为
  • 目前已知造成了什么影响
  • 以及未来潜在的风险/影响

3. 收集数据

  • 全面观察资产及理解其面临的威胁(不仅仅是漏洞)
  • 实际就是“安全监控”,可持续的安全监控,照着SIEM(Security Information and Event Management)去构想,看SIEM收集了哪些数据