常见的威胁情报协议是什么它们有什么区别
2013年5月,Gartner提出威胁情报的概念。威胁情报是一种基于证据的知识,包括上下文、机制、指标、含义以及能够执行的建议。威胁情报描述了对资产已有或将出现的威胁或危害,并可用于告知决策者对该威胁或危害做出响应提供信息。威胁情报是对对手的分析,分析其能力、动机和目标。而网络威胁情报是对对手如何使用网络来实现目标的分析,应用结构化的分析过程,来了解攻击及其背后的对手。
机读情报(Machine-Readable Threat Intelligence,MRTI )
机读情报即机器可读情报,通过自动化方式从网络收集数据提供给企业。机读情报的优势在于,能够收集足够的数据,确保所有主要的威胁能够得到识别,自动筛选无用或重复数据,无需耗费人力,提供当前及历史变量数据威胁,同时将数据进行格式化,便于机器操作,人工也能轻松进行上下文分析、关联及有限排序。机读情报能够允许SIEM或者其他安全控制设备,根据当前相关威胁形势信息作出安全运营决策。
人读情报(People-Readable Threat Intelligence,PRTI)
人读情报是高度浓缩的,主要由安全项、网络实体以及新兴的黑客组织、攻击等组成,主要解决解决的是信息爆炸的问题,提供针对企业或者用户个性化的情报。同时,人读情报也包含很多机读情报。人读情报格式广泛,安全公告、漏洞预警、病毒/APT分析等都属于该类别。
“2 情报***享交换标准
CybOX(Cyber Observable eXpression)
CybOX即网络可观测事件表达,是一种用于管理网络观测到的交流和报告的标准化语言,主要用于威胁情报词汇标准。它是由美国非营利性组织MITRE 基于现实观察到的对手技战术知识库开发的框架。CybOX提供了一套标准且支持扩展的语法,用来描述所有可被计算机系统和操作上观察到的内容。可观察的对象可以是动态的事件,也可以是静态的资产,如HTTP会话、X509证书、文件、系统配置项等。