什么是网络威胁情报 (CTI)？

CTI 涵盖与网络安全有关的广泛信息和分析。不过，根据信息类型和应用，可将其分为三大类。全面的 CTI 计划将包含不同级别的每种类型，以满足组织独特的网络安全需求。

战略情报

战略威胁情报 (STI) 来自于对网络安全大趋势及其可能对组织产生的影响的高层次分析。它提供了有关威胁参与者动机、能力和目标的洞察力，帮助 IT 部门以外的高管和决策者了解潜在的网络威胁。与其他类型的 CTI 相比，战略威胁情报通常不那么技术性，也不针对具体事件，通常用于制定风险管理策略和计划，以减轻未来网络攻击的影响。

战术情报

顾名思义，战术威胁情报（TTI）侧重于威胁参与者的战术、技术和程序（TTPs），力求了解威胁参与者可能如何攻击组织。战术威胁情报还利用威胁追踪来探索威胁漏洞，主动搜索组织网络中最初未被发现的威胁。TTI 比 STI 技术性更强，通常由 IT 或 SOC 团队用于加强网络安全措施或改进事件响应计划。

业务情报

与 STI 和 TTI 相比，作战威胁情报 (OTI) 更加详细、针对特定事件且即时，是用于促进及时威胁检测和事件响应的实时数据。CISO、CIO 和 SOC 成员经常利用 OTI 来识别和挫败可能的攻击。

威胁情报的来源

威胁情报的来源几乎和网络安全形势本身一样多种多样。不过，CTI 有几个常见的来源。

• 内部数据：组织从自身数据、网络日志、事件响应等中收集的信息。
• 公开来源情报 (OSINT)：来自被视为公共领域的资源的信息。
• 闭源服务：不向公众提供的信息。
• 信息共享和分析中心（ISACs）：针对特定业务部门的组织，负责收集、分析并与成员组织共享可操作的威胁信息。
• 政府建议：由联邦调查局（美国）、国家网络安全中心（英国）或欧盟网络安全局（ENISA）等机构发布的信息。
• 深网和暗网情报：加密和匿名信息，提供有关网络犯罪和活动的信息，对即将发生的攻击发出预警，并洞察网络犯罪分子的动机和方法。

利用外部和内部威胁情报

来自内部和外部的 CTI 为组织的威胁状况提供了不同但同样重要的见解。

分析内部数据可创建 "上下文 CTI"，帮助组织根据个人情况、业务系统、产品和服务识别并确认最相关的威胁。审查以往事件的信息可以揭示入侵指标（IOC），详细说明入侵的原因和影响，并提供改进事件响应计划的机会。内部 CTI 还能加深对组织漏洞的了解，使 CISO 和 SOC 能够制定更有针对性的网络安全措施。

外部 CTI 可提供所需的洞察力，从而领先于当前和即将出现的威胁参与者。从全球 TTP 到来自 ISAC 和行业同行团体等来源的特定行业情报，外部 CTI 可增强威胁意识，提高组织创建更强大网络安全计划的能力。

威胁检测中情报驱动数据的价值

作为任何网络威胁检测和响应计划的关键要素，以情报为导向的数据可促进积极主动的防御态势，帮助组织更好地了解自身漏洞，预测网络威胁，将资源集中用于最重要的威胁，并制定事件响应计划，将网络攻击的影响降至最低。

智能驱动的数据还能让人更深入地了解风险管理和合规性问题，减少数据泄露可能造成的财务和声誉损失。

威胁情报中的工具和服务

生成网络威胁情报的工具越来越多，每种工具都有独特的形式和功能，以满足组织的网络安全需求。

将几种工具和威胁情报平台的功能结合起来，就能创建最完整、最彻底的威胁检测和预防计划。

威胁情报工具及其功能概述

• 威胁情报平台（ TIP） ：自动收集、汇总和分析外部威胁数据。
• 安全信息和事件管理系统（SIEM） ：收集和分析由系统日志、事件数据和其他上下文来源组成的内部威胁数据。
• 威胁情报馈送：提供与当前或正在发生的网络威胁相关的实时信息流，通常侧重于特定的关注领域（IP 地址、域、恶意软件签名等）。
• 沙箱工具：提供受控环境，组织可在其中分析或打开具有潜在危险的文件或程序，而不会对组织的内部系统造成风险。
• 开放源情报 (OSINT) 工具：从公共来源（社交媒体、博客、公开论坛等）收集数据。

威胁情报服务：它们如何加强网络安全

威胁情报服务通过为 CISO 和 SOC 提供开发和优化网络威胁分析、预防和恢复计划的工具，为组织的网络安全工作提供支持。有效的 CTI 支持可提高对威胁的整体认识，实现主动防御措施，加强事件响应计划，改进决策和风险管理。

事件响应在威胁情报计划中的作用

事件响应计划（IRP） 在威胁情报计划中具有多种作用。IRP 概述了组织如何应对网络安全事件并从中恢复。除了确保组织做好应对网络攻击的准备外，计划周密的 IRP 还将提供各种类型的威胁情报，可用于改进未来的网络安全措施。

威胁情报的实际实施

网络威胁情报的实际实施首先要确定明确的目标，并从各种内部和外部来源收集相关数据。数据分析后，可用于生成可操作的情报，并将其整合到现有的网络安全计划中。

将威胁情报纳入网络安全策略

将 CTI 计划的见解应用到整体网络安全策略中，将提高威胁预防意识、攻击预防和事件响应能力。需要注意的是，这种整合可能要求调整现有流程、调整控制措施、更新计划或修改用户培训计划。

威胁追踪：积极主动的网络安全方法

老练的黑客可以潜入网络，在搜索或收集数据、登录凭证或其他敏感资料时不被发现。威胁追踪是在内部网络中主动搜索以前未发现的网络威胁的做法。威胁追踪对于消除高级持续威胁（APT）至关重要。

威胁情报生命周期：概述

威胁情报生命周期是 CISO 制定和实施网络威胁情报计划过程的纲要。它是一个持续将原始威胁数据转化为可操作的威胁情报的框架，然后可用于识别和避免对组织网络安全的威胁。

了解威胁情报生命周期的各个阶段

1. 发现：从各种来源发现威胁情报数据（指标、对手战术、工具等），这些来源可以包括内部调查和来源、威胁情报源、合作关系、其他开源威胁情报（OSINT）。
2. 系列：一旦发现威胁情报数据，就收集并存储这些数据，以便进行更多处理和分析。
3. 处理：清理数据，删除重复、不一致和不相关的信息。然后将原始数据转换为适合分析的格式，并通过附加的上下文和元数据进行增强。
4. 分析：对处理过的数据进行深入分析，以确定模式、趋势和潜在威胁，并采用各种技术挖掘隐藏的洞察力。然后评估已识别威胁的可信度和影响。
5. 行动：准备并向相关利益攸关方（包括事件响应团队、SOC 和高管）分发可操作的情报。确保根据不同受众的具体需求调整信息，使其简洁明了。
6. 反馈回路：获取主要利益相关方对所提供威胁情报的有效性和相关性的反馈。然后根据反馈和经验教训，持续完善和改进收集、处理、分析和流程。

建立有效的威胁情报计划

除了寻找合适的工具和搜索数据外，建立一个有效的 CTI 计划还需要一个以策略为导向的计划、一个专家团队、井然有序的流程，以及整个组织对持续学习和改进的承诺。

建立威胁情报计划的关键步骤

• 确定目标和目的。
• 分配资源和配备有适当技能的工作人员。
• 实施相关数据收集流程。
• 制定数据分析和情报生成方法。
• 在网络安全计划中整合并利用情报。
• 确定传播情报的格式。
• 收集和审查反馈意见。
• 确保合规性，遵守行业标准、法规和内部管理政策。

威胁情报中持续学习和适应的重要性

随着威胁参与者的知识越来越丰富、手段越来越先进，网络威胁的形势也在持续变化。一项有效的 CTI 计划只有像其旨在挫败的威胁一样充满活力，才能保持其有效性。从以往的事件和威胁情报反馈中吸取经验教训，使组织能够持续调整和增强 CTI 计划的要素，尽可能保持其相关性和有效性。

威胁情报常见问题解答