欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

威胁情报基础浅析:爬取、行走、分析(Part 3)

程序员文章站 2022-03-15 23:31:18
这是威胁情报基础三部曲的最后一篇(一、二),本文将继续讨论威胁情报如何在安全操作中实施的。 安全操作中的情报分析 在本系列的前两个部分中,我们介绍了情报的框架:情报的分级(战略情报、行动情...

这是威胁情报基础三部曲的最后一篇(一、二),本文将继续讨论威胁情报如何在安全操作中实施的。

安全操作中的情报分析

在本系列的前两个部分中,我们介绍了情报的框架:情报的分级(战略情报、行动情报、战术情报)和情报的类型(技术情报、趋势情报、长期情报等)。不论情报的等级、类型如何,对情报分析的需求是不变的。

分析是情报最为重要的部分,它调用数据然后将其转化成为我们决策提供依据的情报。

分析:失落的碎片 

网络威胁情报

我们十分擅长情报收集、处理及传播工作,却容易遗漏情报周期中大量的重要部分,导致警报未触发、错误预警过多,误导用户。

说起来容易,但是真正开展情报分析工作却是一件困难的事情,尤其在诸如网络威胁情报等新兴领域尤为如此。模型和方式可以帮助我们理解情报分析的过程,但即便是确定模型的种类也绝非易事。存在很多相似模型,它们在不同场合发挥了不同的作用。

那么问题来了:什么是分析?

情报分析的目的是为了减少不确定性、提供威胁预警以及为决策提供支撑的信息评估和解读。美国前国务卿鲍威尔对“情报”给出了最精简的概括,即“让我知道你掌握的,让我了解你不知道的,告诉我你在想什么。对这三者保持清楚的区分”。

借助自己或他人收集的信息,分析师通过这些已知材料进一步区分出哪部分需要继续采集,而哪些可以作为参考,然后决定他们运用信息的方式。

在你展开分析之前,你应当明确情报分析的目标是什么。理论上需求取决于领导、客户或者其他类型的用户,但是在在很多情况中客户对自己的需求并不非常清楚。因此,理解公司对于威胁情报的需求非常关键,第一步就是要搞清楚问题所在或值得探讨的地方。

分析模型

一旦了解情报分析需要解决的问题,就着手从不同分析模型中选择出最佳模型进行分析。这里列出了一些比较有用的资源,可以帮你了解那些常见的威胁情报模型。

不同的模型可以为不同的目的服务。SWOT方法更适合于实施更高级别的分析,通过与对手的比较发现自身存在的优势和不足。F3EAD、Diamond Model(钻石模型)、Kill Chains模型都可以用于分析的具体指令或不同事件与指令之间的关联。Target Centric Intelligence是一种比较少为人知的模型,但它不仅能帮助我们了解某一事件,还能加强情报决策者、收集者、分析者等相关部门的协作,从而避免在情报处理的过程中重复、信息不共享或常见的误传等情况。

·  SWOT (Strengths, Weaknesses,Opportunities, Threats) 

·  Find, Fix, Finish, Exploit, Analyze,Disseminate by @sroberts

·  Target CentricIntelligence

·  Diamond Modelfor Intrusion Analysis

·  Analysis ofAdversary Campaigns and Intrusion Kill Chains

关于情报收集,还要注意这些

通常情报分析结果取决于初始信息的质量。通过训练,情报分析员有能力对信息来源进行评估,以便掌握该信息是否因为主观因素而影响了可靠性。在开展网络威胁情报分析工作时,我们还是主要依赖于其他渠道收集的数据而非第一手信息。这也是为什么要在自有网络中进行信息分析的重要原因之一。

此外,作为团队成员要确保信息的透明,以便其他人进行情报分析。这样或许暴露了消源或获得手段,但我们仍然需要在保护信源和情报得到充分利用之间取得平衡。