L'intelligenza delle minacce di geolocalizzazione IP è?

0

Se i fornitori della tua attività si trovano tutti in Nord America, ma il tuo portale web fornitore riceve improvvisamente molto traffico da altre parti, dovresti effettuare accertamenti. Pertanto, i dati di geolocalizzazione IP mi sembrano come informazioni sulle minacce. Tuttavia, il termine intelligence delle minacce di solito si riferisce agli hash di file di malware, agli indirizzi IP dei server di comando e controllo, ecc. Ma non ai dati di geolocalizzazione per gli indirizzi IP. Cosa mi manca?

    
posta Quartararo 26.01.2018 - 08:53
fonte

1 risposta

2

"Intelligence sulle minacce" deve avere "minacce" come contesto. Un dato è solo questo: i dati.

I pagina wiki link a CERT-UK paper sull'argomento e definisce l'intelligence delle minacce come:

[It is] evidence-based knowledge, including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.

[citato da: link

Quindi, avere le informazioni sulla posizione geografica equivale a avere l'IP: è un dato. Non c'è particolare rilevanza per i dati, quindi non è "intelligence delle minacce". Se si sapeva che i principali attacchi stavano accadendo da una particolare posizione (come è successo con gli attacchi dell'esercito cinese provenienti da luoghi militari noti e i dati di geo-localizzazione IP puntati direttamente lì) allora il contesto che rende questo particolare pezzo di dati "minaccia intel".

Solo perché i dati geo-ip sono dispari per te in questa istanza non rendono l'area della conoscenza chiamata intel "geo-location". Ma non sono sicuro del perché uno richiederebbe che i dati siano classificati in questo modo.

    
risposta data 26.01.2018 - 10:36
fonte

Leggi altre domande sui tag