在我们讨论网络威胁情报之前,我们首先需要明白什么是情报。因为网络威胁情报也是从传统情报领域发展起来的。
那什么是情报呢?传统意义上的情报工作,都是由政府组织开展的,针对其他国家进行的信息收集活动,以便政府官员或军队在进行决策时进行参考。经过多年的发展,情报这个词语已经不单单只限于政府机构。
CIA对情报的定义:简单来说,情报就是关于世界的知识以及辅助美国政府在行动之前进行决策的工具
前中央情报局局长弗农·沃尔特斯的定义:情报是关于一个国家的实力、资源、能力和意图的信息。这些信息并不一定都用于公共领域,但会对我们的生活和人民的安全造成影响。
中央情报局情报专家谢尔曼·肯特定义:情报不仅仅是信息;它是收集和评估信息以获得洞察力以及产生并提供给决策者的洞察力的过程。
在本课程中,我们认为情报是一个组织或团体为了其安全和利益而对竞争对手及其代理人的信息收集、处理和分析。情报不仅仅是处理信息的过程,也是信息处理之后的结果。
HUMINT:Human intelligence collection(人际关系)
GEOINT:Geospatial intelligence collection(地理位置信息,来源于卫星)
MASINT:Measurement and signature intelligence(特征测绘情报,来自于雷达特征,核爆信号等。)
OSINT:Open-source intelligence collection(开源情报,来自图书馆,公共资源或互联网)
SIGINT:Intelligence derived from signal intercepts(从通信监听或拦截中获取的情报)
传统情报有各种各样的来源和分类,但在网络威胁情报中我们无法做到这样丰富的信息源。通常我们无法调查人际关系也没有卫星来获取地理信息。相反地,我们需要收集所有能搜集到的信息,并处理和分析它。
情报对抗(或者说反情报)是识别、评估和根除敌对情报活动的过程。在情报对抗领域我们需要评估情报收益以及损失,并且有效识别假情报。
谢尔曼·肯特
美国情报分析之父
耶鲁大学历史学教授
二战期间加入战略服务办公室(CIA前身)
参考链接:
https://www.sohu.com/na/477804460_120379393
理查兹·霍耶尔
在CIA工作45年
出版《情报心理学》
主要关注分析类型、批判性思维模型和方法,以及分析师克服思维过程的偏见阻碍c参考链接:
https://www.cia.gov/static/9a5f1162fd0932c29bfed1c030edf4ae/Pyschology-of-Intelligence-Analysis.pdf
“analysis”这个词源于古希腊语,原词为“ἀνάλυσις”,意为分解、解析。它是将事物拆解以理解其本质的行为。分析是情报工作的核心,无论是传统意义上的情报工作还是针对威胁情报的分析。
而情报分析并不仅仅包含分析这一词语的字面意义,当我们分析一起入侵事件时,我们通过获取到的信息更新对攻击组织的认知,我们通过理解对手的行为而进行假设,进而发现攻击组织的更多行为。我们需要结合本次入侵和其他来源的数据,例如恶意软件分析报告。
分析师的作用不仅仅是收集特定事件的信息并进行整理,还需要评估这些数据的影响,我们称之为分析研判。分析研判是为了满足特定的情报需求,基于数据和信息,确认信息差和排除不确定性。对已经发生的事件进行判断。例如判断攻击组织的目的和影响。或对未来的事情进行预测,例如假设一个入侵事件所产生的影响。这种分析研判会存在人为误差,因此了解分析师是如何研判的十分重要。
如有侵权请联系:admin#unsafe.sh