SANS的定义
针对安全威胁、威胁者、利用、恶意软件、漏洞和危害指标、所收集的用于评估的应用数据集。
iSight的定义
iSight:网络威胁情报是关于已收集、分析、分发的,针对攻击者和其动机的目的手段,用于帮助所有安全级别的,和业务员工的,用于保护企业核心资产的知识。
Gartner的定义
威胁情报是一种基于证据的知识,包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险,并可以用于通知主体针对相关威胁或危险采取某种响应。
自己的理解
情报是信息的一种高纬度形式,威胁是类型,因此威胁情报其实就是针对主体的、关于威胁的高纬度信息。
常见误区
1.漏洞情报就是威胁情报。威胁企业的,漏洞只是一部分。漏洞知己,威胁知彼。
2.威胁信息=威胁情报。 威胁情报,不仅是收集,还需要分析。情报是已经处理和分析的。
3.威胁情报就是信息收集。信息收集只是威胁情报的第一部分。情报是对企业有意义的。
