顺丰集团潘盛和谈威胁情报在安全分析中的应用

“潘盛和-威胁情报的实践应用.pdf”主要介绍了威胁情报在网络安全分析中的应用，由顺丰集团信息安全与内控处信息安全组负责人潘盛和分享。此资源讨论了威胁情报的定义、目的和应用，特别强调了情报集市在传统安全和业务安全中的场景应用，以及情报运行过程中面临的问题和尝试的解决方法。 威胁情报是基于证据的知识，它包含了场景、机制、指标、影响和可操作建议，帮助识别和应对现有或潜在的威胁。例如，当发现某个IP地址和工具被用于攻击公司会员系统时，可以基于这些情报采取封禁IP和修复漏洞等措施。威胁情报的主要目的是降低风险不确定性，通过外部数据预测内部潜在威胁，并支持安全决策。 应用方面，威胁情报被分为传统安全和业务安全两个场景。在传统安全中，它可以用于风险评估、威胁预测、系统加固等，而在业务安全领域，它则可应用于招聘准入、员工流失分析等，帮助企业防范各种业务风险。 情报集市是整合不同来源的情报，包括IP代理库、恶意软件、手机小号等，服务于不同的业务需求，如IP信誉评估、企业存续状况检查等。然而，情报集市也存在一些问题，如场景匹配度低、更新频率不足、情报质量参差不齐等。为了解决这些问题，提出了采用多家交叉验证、丰富场景数据和隐私保护等方法。 此外，文件还提到了情报运行的流程，包括情报检测、聚合分析、订阅分发等，以及如何利用情报进行威胁检测和响应。未来的发展方向包括扩大情报范围、降低成本、提高检测速度和优化响应事件的能力。 总结起来，这份资料深入探讨了威胁情报在网络安全实践中的重要性和具体应用，为企业安全管理和决策提供了宝贵的指导。通过持续改进和创新，威胁情报有望成为企业防范网络威胁的关键工具。