【2017年整理】威胁情报定义.docVIP

威胁情报定义 目录 简介 2 什么是威胁情报？ 2 核心情报原则 3 可辨别的网络情报 4 情报圈 4 情报漏斗 5 从信息中辨识情报 6 威胁情报收集 6 情报事件中可辨别的特征 7 威胁情报提供的信息 8 威胁情报在信息安全中的重要性 8 网络威胁轮廓的改变 8 信息安全漏洞的数量 9 技术成长和使用改变 10 不同的组织机构都从威胁情报中期望得到什么？ 10 结论 11  简介 在过去的几年中，术语“威胁情报”迅速出现在信息安全领域，许多安全厂商现在为消费者提供威胁情报服务。由于威胁情报并没有一个明确的工业化定义，不是所有人对它的定义都一致。导致的结果是威胁情报这一术语如此广泛地使用在安全工业领域，但对于“情报”的真实定义却一直没有。今天正在提供给市场的威胁情报服务完全没有提供正确的威胁情报——他们只是提供对经过最简单（或者甚至是原始的）数据的访问权。 这篇Solutionary公司的白皮书向读者们提供对情报的基本介绍，进一步，会介绍一下威胁情报。这篇文章的关键论点如下： 用传统情报社区（的观点）来罗列工业上关于情报的定义，以便在向前时有一种统一的理解。 明确定义什么是威胁情报，它的核心准则，网络情报当前的演变和它的衍生物：网络威胁情报。 对将原始数据转换为情报必须的情报处理过程的步骤文档化。 为那些正在考虑商业威胁情报服务的读者提供一个精准的依据和理解。 讨论威胁情报服务增长背后的影响。 什么是威胁情报？ 中央情报局（CIA）关于情报的定义1（对威胁情报的关键论点作了下划线）： 用最简术语表示，情报是我们所处世界中的知识和预判。美国政策制定者决策和行动的先导。情报机构将这种信息以某种方式提供给消费者、国民领导或军队指挥官，（以便让他们）去思考可替换的选项和结果。情报处理过程涉及漫长细心和通常是枯燥耗时的对事实的搜集、对它们的分析、快速和清晰的评估、仔细判断后形成产品，并且不时递知给消费者。综上，这个分析过程必须是完整而冗长的，经常性的和与政治需求及企业相关的。 商业威胁情报的目标是去传递与中央情报机构提供的具有相似能力的事物。然而，取代了向政府官员提供军事和政治情报，当前关注范围在信息安全工业内，主要是向组织机构相关人员提供关于他们企业系统的数字威胁的威胁情报。 这种威胁情报，和与之相关的价值，经常与特定情报目标的实现（也被称为优先情报要求（PIR））关联起来。PIR可被视为是收集信息以满足情报要求的特殊使用案例。 有时候“威胁情报”这一术语经常被定义为数据或与潜在的网络安全相关的数据馈送这样的错误名词。这个定义极大地简化了应当被收集为情报供给内一部分的的情报类型，和将原始数据转换为顾客可用来行动的情报的（被要求的）过程。 网络威胁情报要处理的远不止如此。它的目的是成为一个跨学科的和整体的，可以提供一个人可理解的和真实的情报产品的，可以在多层面上给股东们提供价值的解决方案。它从一个组织周边的物理（PESTLE，STEEPLED）2和数字环境中同时收集数据，而且要顾及更广泛的攻击面。（我们）可以这样阐述观点：在情报圈内有一个很小但正在发展为联盟的，限制伙伴关系和在物理与网络世界威胁里面广泛联系、关联的角色。许多跨国犯罪组织无一例外地擅长于用来寻找新的犯罪企业的环境扫描。网络威胁情报是用来应对这些因素的唯一准备。 核心情报原则 情报是一种谍报。它结合了可以被用来横跨整个产业的方法论和技术。它的收集包括五个核心原则和它们的附属原则。传统情报社区辨别情报的原则基于他们的计划目的和收集来源。对五个情报原则的描述如下。 人力情报（HUMINT）- HUMINT是从一个线人那里收集信息。这种来源也许拥有第一手或者第二手的资料，且通常通过看、听和活动来获得。它可以包括威胁、中立或友好的（政府）文职人员。 开源威胁情报（OSINT）- OSINT探索、利用和提高可公开获得的公众信息。由于海量的可利用信息，数据挖掘和高级搜索技术显得尤为重要。这种情报包括电视、雷达广播、书籍、报纸和网络这些来源。 信号情报（SIGINT）- SIGINT被定义为对交通系统、雷达和武器系统的信号转换的收集和利用。SIGINT的结果来自收集、锁定、处理、分析和报告被拦截的通讯和没有通讯功能的发射器。SIGINT被归为电子情报（ELINT）和通讯情报（COMINT）的子类。 图像情报（IMINT）- IMINT是被大量陆地、航空或卫星探测器收集的地理空间信息。 测量和特征情报（MASINT）- MASINT是情报的一个技术分支，使用通过诸如雷达、声呐、无源电光传感器、地震仪和其他用来测量物体或事件以通过它们的特征来辨别它们的传感器所收集的信息。这包括去离散标记一个人、一个地方或有特殊特征的事物的能力。 图1 可辨别的网络情报 网络情报（CYINT）- 不是核心