威胁情报-=-数据-人 (威胁情报分析)

教程大全 2025-07-12 22:27:51 浏览次

我们已经看过许多威胁情报的演讲和文章，也向很多专业人员咨询过威胁情报怎样利用的问题。其中抱怨最多的就是： 现在所谓的威胁情报根本就是聚焦点很窄的平面(flat)数据。有时候，这些数据会派上用场，但多数时候，根本没用。

原始数据，比如签名和IP地址列表，只要没经过验证或者缺乏上下文，就不能称之为情报。多数专家认为，还是需要一个清楚业务需求的人来分析这些平面数据并作出判断。

举个例子：

一份关于勒索软件CryptoLocker及其相关IP地址的数据反馈，并不能解释清楚如何减轻风险，也帮不了公司决策该如何反应。换句话说，这么一份反馈，或者说情报，不具备可行性。不幸的是，一些厂商出售的，还就是这样的东西——未经处理的粗陋数据反馈。

一位安全从业人员对此案例评价道：“你最多能用这东西封锁一些命令和控制服务器，查看一下数据流向，检查公司里有没有人的机器被感染了——通常都只是事后补救了，不过至少你可以给点反应。这还是在假设你拥有安全信息和事件管理(SIEM)系统，或者有专门的团队处理事件响应和调查的情况下。”

选购威胁情报解决方案的最终目标，就是获得可行性情报支持。而只有经过评估和验证的情报，才具备可行性;否则，就仅仅只是原始信息而已。

基本上，公司和机构都希望知道：

谁在攻击?为什么要攻击?怎样攻击的?

我们的竞争对手也被攻击了吗?

商业合作伙伴有没有被攻击?或者，是针对整个行业的攻击有所上升?

攻击能力和攻击方式是什么?

攻击者的常用工具和攻击策略是什么?

可想而知，总有数据反馈能够提供回答所有这些问题的零零散散的信息。但，再次强调，这没什么卵用!缺少了上下文，这些信息你用不起来。

对公司而言，威胁情报的长期价值，在于驱动改变的能力。

经验证的威胁情报(或者有着适当上下文的数据)应该能改变行为——无论这些行为是否是安全运营中心(SOC)确定并响应警报的做法;是否是用户判断并处理网络钓鱼邮件的方式;是否是决策者和高管投资安全项目或优先考虑长期安全计划的行动。某些情况下，威胁情报将帮助事件响应(IR)团队争取到更短的检测和响应时间——切实的好处。

一名分析师的案例：

最近金融行业的一名安全从业人员接受了采访，透露了他们的威胁情报使用体验，以及威胁情报是怎样影响他们的操作的。出于保护他们公司和客户的考虑，我们就称他为M吧。

“目前，我所在的金融公司主要利用日志分析软件Splunk，将通用黑名单和开源情报反馈与我们边界设备记录下来的地址、蜜罐和金融服务信息共享与分析中心(FS-ISAC)的通报关联起来。”

作为一名分析师，小M要审查特定的FS-ISAC数据，查找金融相关网络钓鱼、凭证窃取、诈骗相关数据，并与她的团队和公司风险高管共享这些信息。必要的话，他们有时候也会与FS-ISAC共享网络钓鱼或诈骗指示器相关信息。

“我们曾一度采用统一威胁共享工具，付费和开源的都用过。我们从FS-ISAC弄了个早期版本的Soltra服务器，但那需要大量的数据库知识才能管理。随着时间的推移，出现了很多需要跨团队介入才能解决的问题，而我们缺乏人手。”

“鉴于我们目前的处理过程适合公司当前规模，在砸钱引进解决方案上我们有一点点顾虑。不是没有尝试过一些看起来靠谱的付费产品/设备，尤其是Vorstack。然而，因为预算调整，我们觉得当前拥有的东西就足以应付需要处理的数据/威胁规模了。”

那么，工作流究竟是怎样的呢?

小M的大多数安全设备，都已经可以基于厂商提供的指示器反馈来响应/封锁/报警威胁了。但是，在社会工程和人际互动会引入风险的地方，小M的团队会将这些信息与员工们共享。

比如说，向HR发出简历相关的攻击行动警报。但人工筛查只在必要的时候进行，因为他们觉得，当我们已经向非以安全为中心的团队提供了太多数据时，警报疲惫就相当可观了。

那么，事关警报，多少数据才算太多呢?

“我们现在只寻找特别针对金融公司的威胁了，比如与已知诈骗活动相关的数据、面向金融行业的DDoS威胁、网络钓鱼/凭证窃取、高管级鲸钓尝试、具金融性质的特定水坑攻击……”

政治活动相关的威胁也要进行监测和走势预测，以防存在攻击者重叠。不过，通常，暴力攻击IP本质上很杂乱，小M的公司启用了他们的防火墙、入侵检测系统、负载平衡厂商的黑名单，以及其他启发式/流量行为检测机制来对抗。

“例如，针对政府的水坑攻击、匿名攻击等等，对我们的影响就没有那些可以在较大型金融机构遭到攻击时提前听说的银行木马、偶发匿名金融攻击等的大。”

FS-ISAC在价值，在于对社会工程诱饵、诈骗策略，以及特定攻击“诡计”的描述和建议。这些具体信息能帮助安全团队准备对员工的培训，通过内部网络钓鱼演练和一般的安全意识培养都能达到效果。

原始数据的相互关联非常有用。只要收到能帮安全团队理解攻击模式的情报，他们通常都可以预测出相关的攻击工具变体，通报给事件响应团队和可能会被盯上的员工。攻击指征(Indicator)是很好用的，但如果团队理解了攻击行为或目标，而不是只面对一堆静态数据，它们也就不是那么重要了。

“之前就这么说的，但情报总是太多太杂，公司真正需要的是可行性情报，跟那些24小时前遭到的每条暴力攻击原始情报数据完全不是一码事，到那时候，我们的设备早都收到新的黑名单了。”

“每个行业都有自己特别的需求，大多数威胁情报提供商给出的是高压水枪式喷涌的数据，需要空间管理和人力审查，得精挑细选出对公司真正有影响的，以及真正应该响应的。”

原文地址：

什么是GPS

嗯，对于导航仪的话，建议选择一些品牌产品，品质有保证，其次注意导航仪的芯片，芯片决定导航的精度，最后看是不是可以升级。你要是不知道如何选，可以去这里看看，导航仪不错，价格也不贵，我之前就是这里选到的，很不错。 ~

GPS是什么意思

全球定位系统(GPS)是本世纪70年代由美国陆海空三军联合研制的新一代空间卫星导航定位系统。其主要目的是为陆、海、空三大领域提供实时、全天候和全球性的导航服务，并用于情报收集、核爆监测和应急通讯等一些军事目的，是美国独霸全球战略的重要组成。经过20余年的研究实验，耗资300亿美元，到1994年3月，全球覆盖率高达98%的24颗GPS卫星星座己布设完成。全球定位系统由三部分构成：(1)地面控制部分，由主控站(负责管理、协调整个地面控制系统的工作)、地面天线(在主控站的控制下，向卫星注入寻电文)、监测站(数据自动收集中心)和通讯辅助系统(数据传输)组成；(2)空间部分，由24颗卫星组成，分布在6个道平面上；(3)用户装置部分，主要由GPS接收机和卫星天线组成。全球定位系统的主要特点：(1)全天候；(2) 全球覆盖；(3)三维定速定时高精度；(4)快速省时高效率：(5)应用广泛多功能。全球定位系统的主要用途：(1)陆地应用，主要包括车辆导航、应急反应、大气物理观测、地球物理资源勘探、工程测量、变形监测、地壳运动监测、市政规划控制等；(2)海洋应用，包括远洋船最佳航程航线测定、船只实时调度与导航、海洋救援、海洋探宝、水文地质测量以及海洋平台定位、海平面升降监测等；(3)航空航天应用，包括飞机导航、航空遥感姿态控制、低轨卫星定轨、导弹制导、航空救援和载人航天器防护探测等。 GPS卫星接收机种类很多，根据型号分为测地型、全站型、定时型、手持型、集成型；根据用途分为车载式、船载式、机载式、星载式、弹载式。经过20余年的实践证明，GPS系统是一个高精度、全天候和全球性的无线电导航、定位和定时的多功能系统。 GPS技术已经发展成为多领域、多模式、多用途、多机型的国际性高新技术产业。 GPS原理 24颗GPS卫星在离地面1万2千公里的高空上，以12小时的周期环绕地球运行，使得在任意时刻，在地面上的任意一点都可以同时观测到4颗以上的卫星。由于卫星的位置精确可知，在GPS观测中，我们可得到卫星到接收机的距离，利用三维坐标中的距离公式，利用3颗卫星，就可以组成3个方程式，解出观测点的位置(X,Y,Z)。考虑到卫星的时钟与接收机时钟之间的误差，实际上有4个未知数，X、Y、Z和钟差，因而需要引入第4颗卫星，形成4个方程式进行求解，从而得到观测点的经纬度和高程。事实上，接收机往往可以锁住4颗以上的卫星，这时，接收机可按卫星的星座分布分成若干组，每组4颗，然后通过算法挑选出误差最小的一组用作定位，从而提高精度。由于卫星运行轨道、卫星时钟存在误差，大气对流层、电离层对信号的影响，以及人为的SA保护政策，使得民用GPS的定位精度只有100米。为提高定位精度，普遍采用差分GPS(DGPS)技术，建立基准站(差分台)进行GPS观测，利用已知的基准站精确坐标，与观测值进行比较，从而得出一修正数，并对外发布。接收机收到该修正数后，与自身的观测值进行比较，消去大部分误差，得到一个比较准确的位置。实验表明，利用差分GPS，定位精度可提高到5米。 GPS前景由于GPS技术所具有的全天候、高精度和自动测量的特点，作为先进的测量手段和新的生产力，已经融入了国民经济建设、国防建设和社会发展的各个应用领域。随着冷战结束和全球经济的蓬勃发展，美国政府宣布2000年至2006期间，在保证美国国家安全不受威胁的前提下，取消SA政策，GPS民用信号精度在全球范围内得到改善，利用C/A码进行单点定位的精度由100米提高到20米，这将进一步推动GPS技术的应用，提高生产力、作业效率、科学水平以及人们的生活质量，刺激GPS市场的增长。据有关专家预测，在美国，单单是汽车GPS导航系统，2000年后的市场将达到30亿美元，而在我国，汽车导航的市场也将达到50亿元人民币。可见，GPS技术市场的应用前景非常可观。