什么是威脅情報

什么是威脅情報，其實安全圈一直在使用著它們，漏洞庫、指紋庫、IP信譽庫，它們都是威脅情報的一部分。情報就是線索，威脅情報就是為了還原已發生的攻擊和預測未發生的攻擊所需要的一切線索。“所謂的威脅情報就是幫助我們發現威脅，并進行處置的相應知識。這種知識就是我們所說的威脅情報”。

接下來說威脅情報有什么用？威脅情報給誰用？

從個人角度，如果提供代理IP，刷流量的人想要（繞過IP限制）；如果提供僵尸網絡IP，安全防御者想要，其實攻擊者也想要，攻擊者要的總是比防御者多，所以Ta們更能達到目的。從公司角度而言，先說項目之間，做WAF的、做掃描器的、做漏洞管理平臺的可以交換漏洞信息，做殺毒的和入侵檢測的可以交換惡意樣本信息，做業務欺詐的和做網絡攻防的可以交換IP信譽信息，這些都是為了做到內部資源（掃描器，WAF，IPS等安全組件）甚至外部資源（開源資源集合、廠商資源交換）的整合（現狀是公司越大，這些信息越碎片化），整合才能起到協同防御的效果，才能有能力地進行深度分析去發現真正有價值的攻擊事件與高級的難以發現的APT定點攻擊事件。

回答所涉及的環境：聯想天逸510S、Windows 10。