威胁情报是什么
目前被引用最多的威胁情报的定义是2014年Gartner在其 《安全威胁情报服务市场指南》(Market Guide for Security Threat Intelligence Service)中提出的
“威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。”
Gartner 的定义中,对情报的信息量提出了明确的要求,在用于检测之外还需要提供复杂的背景信息以及针对管理者的建议等。
通俗的讲,威胁情报是关于威胁的信息,利用公开的资源,用于发现威胁并指导企业行动以改善安全状况。
也可以说是,知道外面有哪些坏人(团伙),他们都用什么样的技术,目标是谁。以及用什么东西(IOC)可以快速准确的检测有没有被他们攻击
可参考:
- https://www.cloudflare.com/zh-cn/learning/security/glossary/what-is-threat-intelligence/
- https://www.ibm.com/cn-zh/topics/threat-intelligence
- https://websec.readthedocs.io/zh/latest/defense/threat.html
威胁情报平台
[!NOTE]