不先理解威胁数据和威胁信息，何谈理解威胁情报#yyds干货盘点#（下列选项中关于威胁情报的描述不正确的是）

不先理解威胁数据和威胁信息，何谈理解威胁情报#yyds干货盘点#（下列选项中关于威胁情报的描述不正确的是）

现如今，我们的安全已经进入到了泛安全时代，云、大数据、容器、APP、智能终端、物联网和自动化生产设备都已经成为网络资源和信息资产的重要组成部分，与此同时，也面临前所未有的威胁，网络威胁已然成为各行业的组织机构与安全从业人员十分关注的安全问题。

我们在研究网络威胁问题的过程中，容易将“威胁情报、威胁数据、威胁信息”混为一谈，一旦发生威胁事件，这三种内容直接影响到事件应急处置与溯源分析的深度和广度。因此，只有在我们清晰理解“威胁情报、威胁数据、威胁信息”的含义、来源、范围和关系的基础上，才能更好的开展网络安全服务工作。

威胁数据

含义

通常都是从计算及网络资源中收集到的原始数据，且能记录或描述实际存在的威胁事实。

比如：一条记录了某个IP向某个主机后台启动了某个程序的详细日志。

来源

通过流量检测、数据监测、主动探测、软硬件感应、插件抓取等方式获取。

范围

威胁数据处于数据还未分析之前的状态，还不知道该数据有什么作用或价值，是否有风险或威胁，危害程度怎么样等等，也许该数据无任何意义。

威胁信息

含义

是由一连串的、相互联系的威胁数据组合而成的内容，而不是简单的原始数据或单个威胁记录的日志。

比如：一个“可疑来源”的IP向一个“未被保护”的主机运行了一个“带有木马病毒特征”的程序，将导致文件被加密。

来源

从大量原始数据中识别分析出来的结果。

范围

威胁信息处于对原始数据分析之后的状态，已经能够帮助计算资源和网络资源识别出哪些数据具有威胁性及判断性，还能较为清晰展现关键的具备威胁特征的信息，并能表达出其作用或影响。

威胁情报

含义

不同的权威机构对威胁情报有自己的定义或理解，但大同小异：

1) Gartner把威胁情报定义为基于证据的知识，包括上下文、机制、指标、含义和可执行的建议，以及针对现有的或新出现的威胁，并能为决策提供可信依据。

2) SANS技术研究所把威胁情报定义为针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标，所收集的用于评估和应用的数据集。

比如：一个“被某黑客团伙掌握”的IP向一个“windows系统”的主机运行了一个“带有Sodinokibi勒索病毒家族特征”的程序，执行Sodinokibi后，将遍历机器上的所有文件夹，并加密所有文件，并在每个文件夹中放置勒索便条，且一旦完成加密，它就会更改桌面墙纸通知用户遭到攻击，其所关联的地址、域名、工具、历史痕迹和最新变化信息等等。

来源

从数据来源里收集有潜在威胁的原始数据，运用相关知识对大量信息进行处理后产生的分析结果。

范围

威胁情报处于对威胁数据和威胁信息再进行处理和分析之后的状态，并已形成可决策、立体化的知识；能够帮助组织机构与安全从业人员判断网络安全的现状与趋势，并进一步得出风险预判和威胁结论，为安全运营工作提供决策依据。

三者的关系

要积累威胁情报，离不开威胁数据和威胁信息，威胁数据是佐证情报存在的必然条件，威胁信息是丰富情报内容的必要条件。有潜在价值的威胁数据和威胁信息可以产生威胁情报，然而它们本身还不属于情报，威胁情报需结合安全数据与技术原理进行处理和分析后，形成有标准、有价值、有关联、有信任的威胁情报库。

现实中，威胁数据和威胁信息往往会将组织机构与安全人员指向一个不合理的方向，由于它们缺乏逻辑性和多维性，让决策者及管理人员陷入“头痛医头,脚痛医脚”的被动式安全管理工作中。而具备置信度、时效性、相关联、有证据的威胁情报不仅可以协助组织机构与安全人员制定可操作的安全防护策略，还可以辅助组织机构主动规划安全运营体现的建设，甚至通过威胁情报的持续更新可以帮助组织机构实现更为精准的动态防御。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。