威胁情报和漏洞的区别:
漏洞的概念较明确,而情报比较宽泛。
威胁情报并不是虚的。 其中存在假情报和难追溯的情报。
情报一般分为线索和事件:
我上报了一个黑客组织,可以作为线索;
公司根据这个线索发现了之前一个案子和他们有关,就可能引申出一个事件。
威胁情报并不一定是提前预知
作为甲方公司,很多已经发生的漏洞利用资金损失,我们也有很多没有发现的,这些也都是情报。
情报分技术型情报和业务型情报
漏洞属于技术型情报。有的情报很全,有的只能算是线索。
业务型的最难判定,我们这边也分两个维度,危害维度和完整度维度。
获取情报的来源渠道:
这个看业务了。
举个栗子,有的白帽子已经成功混迹在高端游戏玩家群里,黑产卖异常装备的时候,就来举报。
比较聪明的同学,会关注黑产变现的渠道。
whole chain
暂时没用的线索:
如果一条线索过来了,只是证明存在但不能做什么事。这种对于平台来说是不是一种成本浪费?
溯源是一种能力,线索是一种沉淀。
被证明有价值的情报,是一种线索沉淀,不会是浪费的。
安全行业内,不管是漏洞还是情报,都是要不断求证的。
只要投入产出比可控即可。
这其实也是一个二八原则。
此外,没有产生价值的,可能只是当前没有产生价值,后面业务变化了,可能就会产生相应价值。
建立威胁情报的目的:
无疑是为了预知未来的风险!
个人认为,威胁情报对于各公司来说可以把风险感知再次往前提,能够通过各渠道来源,分析后续的破坏行为。
威胁情报的评定指标:
主要看情报的详细程度和对业务的影响,来评定情报的等级。
不过低价值的情报分值不高。大致是看详细程度、涉及业务、目前和潜在的影响.
有一条就是基于漏洞的情报,不会比按漏洞标准评定低就是了。
目前来看提交者比较理性,大都是遇到事件了来提交,线索其实没那么多。
不同公司关注的情报不一样,建议大家在看情报的时候,先看看这个公司关注什么,根据公司实际业务多磨合磨合。
总结:
-
情报一般分为线索和事件:
- 我上报了一个黑客组织,可以作为线索;
- 公司根据这个线索发现了之前一个案子和他们有关,就可能引申出一个事件。
-
对于暂时没用的线索:
- 溯源是一种能力,线索是一种沉淀。
- 被证明有价值的情报,是一种线索沉淀,不会是浪费的。
- 安全行业内,不管是漏洞还是情报,都是要不断求证的。只要投入产出比可控即可。
-
威胁情报的评定指标:
- 主要看情报的详细程度和对业务的影响,来评定情报的等级。
-
获取情报的来源渠道:
- 可重点关注黑产变现的渠道
-
建立威胁情报的目的:
- 预知未来的风险
- 风险感知再次往前提