本文探讨开源威胁情报在预测和防止网络攻击中的作用。威胁情报基于意图、能力和机会三要素,帮助机构提前发现和应对威胁。文章介绍了 AlienVault 的 OTX 平台以及如何利用威胁指标如文件哈希、域名和 IP 地址来识别和阻止恶意活动。通过开源情报,可以采取主动防御,建立安全预警机制,并提升事件响应效率。
互联网是巨大的,拥有比你能想到的更多、更重要的数据。它并不局限于用来搜索人或者公司的信息,也可以用来预测未来会发生的事情,这一预测基于数据。你需要处理这些数据,OSINT的工作就是将数据联系起来,得出有意义的结论。
数据无处不在,你能用它做许多奇妙的事情。今天让我们探讨下威胁管理中的开源情报吧。
开源威胁情报
威胁是指能够损害商业活动和可持续性的任何事情,威胁基于三个核心因素:
意图:策划和目的
能力:支持意图的资源
机会:合适的时间、技术、步骤和工具
一个机构往往难以发现威胁,常常把大量时间花费在遭受攻击之后的漏洞修补和调查取证上,而不是在攻击出现之前阻止它。
根据Gartner的定义,威胁情报是指:基于一定知识的证据,已经存在或正在形成的潜在威胁,比如,上下文、机制、指标、意义以及可实施的建议,利用这些,可以帮助当事人形成应对这些危险的决策。
我们要做的是,预测(基于数据)将要来临的的攻击。开源威胁情报利用公开的可用资源,预测潜在的威胁。网络威胁情报可以帮助你在防御方面做出更好的决策,可以得到以下好处。
采取积极的办法,而不是被动的反应。你可以制定计划来对抗现在和将来的威胁。
组建一个安全预警机制,在攻击发起之前知道它
对安全事件提出更好的解决方案
网络威胁情报为你提供最新的安全技术信息,帮助封锁出现的威胁
对相关的危险进行调查,开展利益分析
要寻找什么:
恶意IP地址
域名/网站
文件哈希(恶意软件分析)
受害领域/国家
开源威胁情报架构
OTX – Open Threat Exchange:AlienVault Open Threat Exchange (OTX) 可以访问威胁研究专家和安全专
最低0.47元/天 解锁文章
扫一扫
600
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
