1. 情报类型
指标情报(IoC)、战术情报(TTP)、战略情报。
2. 情报来源
国家级平台(如CNCERT)、商业平台(如FireEye)、开源社区(如MITRE ATT&CK)。
1. 检测阶段
比对IP、域名、文件哈希与威胁情报,快速识别已知威胁。
2. 分析阶段
根据攻击手法关联APT组织特征,判断攻击来源和目的。
3. 处置阶段
利用情报制定针对性的处置策略,提高处置效率。
4. 预防阶段
基于情报更新防御规则,提前防范新型威胁。
1. 内部情报库
收集整理内部安全事件信息,建立威胁指标库。
2. 外部情报对接
接入外部威胁情报平台,实现情报自动同步。
3. 情报分析能力
建立情报分析团队,对原始情报进行加工和研判。
1. 建立情报驱动的安全运营体系;2. 定期评估情报质量;3. 加强情报共享与协作。