一、威胁情报开始成为信息安全研究的新热点
大数据的新环境使威胁情报成为信息安全研究的新热点,大数据为我们解决了大规模数据快速捕获、存储和分析的难题,信息安全领域随之发生了诸多变化。总体来看,从理论角度系统论述威胁情报的论文较为缺乏。
二、威胁情报的定义、概念辨析与主要特点
威胁情报用来描述安全威胁,给组织或第三方提供决策建议。威胁情报的目的是为还原已发生和预测未发生的攻击提供一切线索,尽可能多地了解攻击者的动机、战术方法、工具、资源以及行为过程等,并建立有效的防御体系。
在研究范围上,危机情报是有关国家危机、社会公共危机、企业危机、经济危机等危机的情报。而当今的威胁情报主要用于网络与信息安全领域,是有关信息安全的情报。
安全情报这一词汇早已有之,很多国家、组织和企业都设有安全情报部门;而威胁情报是在大数据时代出现的新名词和新的研究领域,与其相关的研究与实践还刚刚开始。
一般安全信息指垃圾只能称之为“可观察数据”;而威胁情报则是将这些零散信息进行关联,形成用于信息安全管理的系统信息和价值情报。威胁源是一种或多种一般安全信息等可观察数据的独特子集,缺乏“情报”所需给出的背景。
威胁情报具有应用范围的广泛性、紧密的跟踪性、用于决策的威胁防范性的主要特点。
三、威胁情报的基础性技术与实践应用
威胁情报是在大数据时代产生的,大数据技术是生产威胁情报的基础性技术。大数据分析是威胁情报的真正价值所在。大数据技术对生产威胁情报的基础性作用主要表现在历史数据对威胁情报至关重要、大数据分析能力关乎威胁情报的质量、大数据技术展现威胁情报的发展前景。
利用大数据等技术生产的威胁情报一般来自政府机构、安全组织与服务厂商、防病毒厂商等。随着各类新型威胁的增多,信息安全实践中出现了新的威胁情报形式。
未来威胁情报实践的一个重要趋势将是威胁情报与移动设备管理平台整合,信息安全管理中相关组织机构可以共享网络安全威胁情报,提升移动安全性,迅速识别不应被允许接入网络的应用,并在数小时内做出决策。
四、威胁情报的重要意义
一个从传统被动式防御转向主动进攻式防御的重大变革正在发生,威胁情报改变了风险防御路径,甚至影响了信息行为方式,将对情报界有所启示。
威胁情报作为一种基于大数据技术的新型安全情报形式和产品对国家信息安全管理范式转型具有非常重要的现实推动作用。
五、未来威胁情报的研究重点
大数据技术让高效利用网络海量数据成为可能,同时提供了获取和串并个人隐私数据的工具,会造成数据滥用现象。但利用数据却是收集数据的唯一目的,况且威胁情报具有巨大的市场吸引力。在大数据环境下的个人隐私、信息安全、情报分享将在矛盾中发展,在不平衡中谋求平衡。人们需要在传统政治与经济之间做出平衡,在充分理解隐私与数据管辖原则的基础上开发大数据应用,威胁情报的数据管辖与隐私保护将成为未来威胁情报的研究重点。
增强威胁情报的有效性成为当务之急,自由开放地共享威胁情报,可以提高安全信息的有效利用。中国信息安全圈也开始考虑共享方式问题,力图形成一种信息共享的生态,促进威胁情报发展。显然,威胁情报共享也将成为未来一个重要趋势和研究重点。
六、总结与展望
无论在理论还是实践方面,威胁情报都具有革命性意义。威胁情报已成为大数据时代新的理念和安全实践,将在“信息安全驱动信息化发展”的信息安全强国战略中发挥重要功能,并推动我国国家信息安全管理范式转型。
