وبلاگ
مقدمه ای بر Cyber Threat Intelligence
مقدمه ای بر Cyber Threat Intelligence
CTI[۱] بهنوعی از اطلاعات راجع به تهدیدات حوزه کامپیوترها، شبکهها و فناوری اطلاعات اطلاق میشود. برای درک بهتر این مفهوم بهتر است نگاهی به تعاریف کلاسیک Intelligence داشته باشیم. Intelligence اطلاعات و دانشی راجع به یک عامل مخرب است که از طریق مشاهده، بررسی، تحلیل و درک بهدست میآید. در تعریف دیگری از Intelligence از آن به عنوان اطلاعات عملیاتی یاد شده است.
اما از تعاریف فوق، میتوان به دو نکته مهم رسید.
- نکته اول، Intelligence اطللاعات یا داده تنها نیست بلکه اطلاعاتی است که تحلیل شده است، یعنی از نتیجه یک تحلیل و بررسی به دست آمده است.
- نکته دوم، Intelligence باید عملیاتی (قابل بهکارگیری) باشد. در غیر این صورت داشتن آن مزیتی نخواهد داشت.
CTI می تواند از نوع استراتژیک یا تاکتیکی باشد. نوع استراتژیک[۲] شامل مواردی نظیر انگیزه مهاجمان سایبری است. در مقابل نوع تاکتیکی[۳] شامل مواردی نظیر رویهها، تکنیکها و تاکتیکها[۴] (TTP) و البته نشانههای تهدید یا مخاطره[۵] (IOC) است. IOC ها یکی از عملیاتیترین نوع CTI ها است که شامل مواردی نظیر آدرس IP، نام دامنه، URL و هش فایل است.
[۱] Cyber Threat Intelligence
[۲] Strategic Intelligence
[۳] Tactical Intelligence
[۴] Tactics, Techniques And Procedures
[۵] Indicator of Compromise
