¿Cuáles son algunos protocolos comunes de inteligencia sobre amenazas? ¿Cuál es su diferencia?

En mayo de 2013, Gartner propuso el concepto de inteligencia sobre amenazas. La inteligencia sobre amenazas es conocimiento basado en evidencia que incluye contexto, mecanismos, indicadores, implicaciones y recomendaciones que pueden implementarse. La inteligencia de amenazas describe amenazas o peligros existentes o futuros para un activo y se puede utilizar para informar a los tomadores de decisiones para que proporcionen información para responder a la amenaza o peligro. La inteligencia de amenazas es un análisis de los adversarios, sus capacidades, motivaciones y objetivos. La inteligencia sobre amenazas cibernéticas es el análisis de cómo los adversarios usan las redes para lograr sus objetivos y la aplicación de un proceso analítico estructurado para comprender los ataques y los adversarios detrás de ellos.

Inteligencia sobre amenazas legible por máquina (MRTI)

La información legible por máquina es información legible por máquina que recopila datos de la red y los proporciona a las empresas a través de la automatización. La ventaja de la inteligencia legible por máquina es que puede recopilar suficientes datos para garantizar que se puedan identificar todas las amenazas principales, filtrar automáticamente datos inútiles o duplicados, sin la necesidad de proporcionar manualmente datos variables actuales e históricos sobre las amenazas, y formatear los datos para facilitar operación de la máquina. También facilita el análisis manual, la correlación y la clasificación limitada. La información legible por máquina puede permitir que un SIEM u otro dispositivo de control de seguridad tome decisiones operativas de seguridad basadas en la información actual sobre el panorama de amenazas.

Inteligencia sobre amenazas legible por humanos (PRTI)

La información legible por humanos está altamente concentrada y consiste principalmente en elementos de seguridad, entidades de red, grupos de piratas informáticos emergentes y ataques. Resuelve principalmente el problema de la explosión de información y proporciona información personalizada para empresas o usuarios. Al mismo tiempo, la información legible por humanos también contiene una gran cantidad de información legible por máquinas. La información legible por humanos viene en una variedad de formatos, así como boletines de seguridad, advertencias de vulnerabilidad, análisis de virus/APT y más. Todos entran en esta categoría.

"2 Inteligencia * * *Disfruta de los estándares de intercambio.

CybOX (Cyber ​​​​Observable Expression)

CybOX es una expresión de eventos observables de red y es un Un lenguaje estandarizado para gestionar la comunicación y la presentación de informes de observaciones de redes, utilizado principalmente para estándares de vocabulario de inteligencia de amenazas. Es un marco desarrollado por la organización estadounidense sin fines de lucro MITRE basado en una base de conocimientos de técnicas y tácticas del adversario observado. sintaxis para describir todo lo que se puede observar en un sistema informático y su funcionamiento. Los objetos observables pueden ser eventos dinámicos o activos estáticos como sesiones HTTP, certificados X509, archivos y elementos de configuración del sistema.