1. 什么是情报?
1.1. 情报的生命周期
- 规划
- 收集
- 处理
- 分析-----讲故事
- 传播-----报表、报告
1.2. 情报收集的难点:遭遇2种欺骗方式
- 拒止:阻止或降低敌方情报收集的能力
- 欺骗:制造假信息/垃圾信息掩盖真实的信息
2. 构建网络安全情报模型
2.1. 网络安全情报的定义
- 基于证据,为资产所面临的现有或新兴威胁提供可付诸行动的信息
2.2. 一个标准的威胁情报信息包括:
- 谁
- 在什么时间
- 出于什么目的
- 对某个对象的某个 重要业务(资产)
- 通过什么方式
- 发起了一次或多次、成功或失败的攻击行为
- 目前已知造成了什么影响
- 以及未来潜在的风险/影响
3. 收集数据
- 全面观察资产及理解其面临的威胁(不仅仅是漏洞)
- 实际就是“安全监控”,可持续的安全监控,照着SIEM(Security Information and Event Management)去构想,看SIEM收集了哪些数据
