Cyber Intelligence
🪄

Cyber Intelligence

链接
年份

简介

网空威胁情报是网络安全环节的至关重要的一个节点。(虽然现在它的价值并不是被同行认可哈)
 
一般来说,稍微可以点的公司都涉及情报的应用,常见的商业竞争情报(比如天眼查等)、商业间谍(职业间谍),还有猎头和HR们,都是情报应用的一个环节。但真正的情报产品,上至国家,下至企业都会进行生产和消费。
 
网空威胁情报是一种认知、是一种技术、是一种产品、是情报学和网络安全的交叉学科。
 
威胁情报分析师的职位,可以分为三个方面:

一 采集

收集可行的情报。这可以是新闻文章、报告、白皮书、博客文章、推特、Reddit帖子或任何能提供价值的信息(就是说中文互联网请您慎重,CSDN欢迎您)。
y,是收集可行的情报。这可以是新闻文章、报告、白皮书、博客文章、推特、Reddit帖子或任何能提供价值的信息(就是说中文互联网请您慎重,CSDN欢迎您)。
在这些信息中,有3个工作要考虑:
  • 指标:提取可以应用在网络安全产品中的IOC或者IOA、TTPs;
  • 规则:提取可以应用在网络安全产品中的规则;
  • 知识:提取可以应用在知识库的文本、图片和视频。
 

二 运营与管理

运营是个粗活,聚焦在具体的技战术;
管理是个细活,聚焦在战术与战略的设计与策划;
指标列表以可供警报的方式提供,可以输入安全工具中。其中一些具有价值,而其他一些则没有。情报分析师的角色是确定要使用的情报源,并对这些指标进行策划。
 
 

三 反馈与丰富流程

情报分析师管理指标的丰富。任何报告的指标如果没有上下文是完全无用的。情报分析师可以管理工具集,为他们管理的指标添加上下文和丰富性。例如,指标最初是在哪里/如何报告的,或者它可能出现在多少个黑名单中,这些细节在安全分析师调查与指标交互时提供了非常重要的上下文。