什么是网络威胁情报 (CTI)?
在这个几乎所有行业、组织和个人都越来越依赖数字系统的世界里,识别和降低网络攻击风险是一项至关重要的主动安全措施。
网络威胁情报(CTI)是指一个组织收集和分析的有关网络安全和基础设施面临的潜在和持续威胁的信息。
威胁情报为首席信息安全官(CISO)和安全小组提供了有关潜在网络威胁参与者动机和方法的宝贵见解,帮助安全小组预测威胁、加强网络防御计划、改进 事件响应、降低网络脆弱性以及减少网络攻击造成的潜在损失。
威胁情报:为何重要
网络威胁情报是组织网络复原力的重要组成部分,根据 NIST的说法,网络复原力包括 "预测、抵御、恢复和适应 "对系统的威胁、攻击或破坏的能力。
威胁情报通过提供强大的战术信息,使组织能够更好地识别和应对网络攻击,从而推动 网络安全 计划。收集这些信息的过程还能发现网络安全系统中的漏洞,从而为风险管理提供支持。这样,安全小组就能更好地分配资源,应对与其行业最相关的网络威胁,保护宝贵的数据、资产和知识产权。
网络威胁情报的好处
拥有经验丰富的威胁情报分析师的强大 CTI 计划可以从多个层面提高网络安全和恢复能力,包括
- 建立积极主动的网络防御:与传统的被动式网络防御(应对已知威胁)相反,CTI 使组织能够了解潜在的威胁参与者,并预测潜在的攻击。
- 改进风险管理计划:CTI 可提供有关潜在威胁参与者使用的动机、手段和方法的可操作信息。在评估风险状况和分配网络安全资源时,CISO 和 SOC 可以利用这些见解,最大限度地检测和保护威胁。
- 改进事件响应:除了支持攻击预防外,CTI 还能提供洞察力,使组织更好地应对网络攻击并从中恢复。全面了解违规情况可以大大降低违规的影响。
- 提高员工意识:组织可以利用 CTI 对员工进行网络威胁教育,并建立以安全为重点的操作程序和培训。
网络威胁情报的挑战
在现代数字环境中,收集 CTI 已变得越来越重要,但也并非没有挑战。以下是一些常见的挑战:
- 信息超载:除了收集、处理和分析大量数据外,CTI 团队还必须区分 "正常 "和 "恶意 "活动。还必须对威胁进行评估,以确定哪些信息与组织的行业、规模和风险状况等因素最为相关。
- 信息更新:CTI 计划的有效性取决于所分析信息的及时性。根据过时的 CTI 做出的决策会阻碍组织的威胁检测,增加遭受网络攻击的可能性。
- 合规性:CTI 通常涉及个人身份信息 (PII)。各组织必须确保所有 CTI 系统都符合任何适用的数据保护法规。
网络威胁情报的类型
CTI 涵盖与网络安全有关的广泛信息和分析。不过,根据信息类型和应用,可将其分为三大类。全面的 CTI 计划将包含不同级别的每种类型,以满足组织独特的网络安全需求。
战略情报
战略威胁情报 (STI) 来自于对网络安全大趋势及其可能对组织产生的影响的高层次分析。它提供了有关威胁参与者动机、能力和目标的洞察力,帮助 IT 部门以外的高管和决策者了解潜在的网络威胁。与其他类型的 CTI 相比,战略威胁情报通常不那么技术性,也不针对具体事件,通常用于制定风险管理策略和计划,以减轻未来网络攻击的影响。
战术情报
顾名思义,战术威胁情报(TTI)侧重于威胁参与者的战术、技术和程序(TTPs),力求了解威胁参与者可能如何攻击组织。战术威胁情报还利用威胁追踪来探索威胁漏洞,主动搜索组织网络中最初未被发现的威胁。TTI 比 STI 技术性更强,通常由 IT 或 SOC 团队用于加强网络安全措施或改进事件响应计划。
业务情报
与 STI 和 TTI 相比,作战威胁情报 (OTI) 更加详细、针对特定事件且即时,是用于促进及时威胁检测和事件响应的实时数据。CISO、CIO 和 SOC 成员经常利用 OTI 来识别和挫败可能的攻击。
威胁情报的来源
威胁情报的来源几乎和网络安全形势本身一样多种多样。不过,CTI 有几个常见的来源。
- 内部数据:组织从自身数据、网络日志、事件响应等中收集的信息。
- 公开来源情报 (OSINT):来自被视为公共领域的资源的信息。
- 闭源服务:不向公众提供的信息。
- 信息共享和分析中心(ISACs):针对特定业务部门的组织,负责收集、分析并与成员组织共享可操作的威胁信息。
- 政府建议:由联邦调查局(美国)、国家网络安全中心(英国)或欧盟网络安全局(ENISA)等机构发布的信息。
- 深网和暗网情报:加密和匿名信息,提供有关网络犯罪和活动的信息,对即将发生的攻击发出预警,并洞察网络犯罪分子的动机和方法。
利用外部和内部威胁情报
来自内部和外部的 CTI 为组织的威胁状况提供了不同但同样重要的见解。
分析内部数据可创建 "上下文 CTI",帮助组织根据个人情况、业务系统、产品和服务识别并确认最相关的威胁。审查以往事件的信息可以揭示入侵指标(IOC),详细说明入侵的原因和影响,并提供改进事件响应计划的机会。内部 CTI 还能加深对组织漏洞的了解,使 CISO 和 SOC 能够制定更有针对性的网络安全措施。
外部 CTI 可提供所需的洞察力,从而领先于当前和即将出现的威胁参与者。从全球 TTP 到来自 ISAC 和行业同行团体等来源的特定行业情报,外部 CTI 可增强威胁意识,提高组织创建更强大网络安全计划的能力。
威胁检测中情报驱动数据的价值
作为任何网络威胁检测和响应计划的关键要素,以情报为导向的数据可促进积极主动的防御态势,帮助组织更好地了解自身漏洞,预测网络威胁,将资源集中用于最重要的威胁,并制定事件响应计划,将网络攻击的影响降至最低。
智能驱动的数据还能让人更深入地了解风险管理和合规性问题,减少数据泄露可能造成的财务和声誉损失。
威胁情报中的工具和服务
生成网络威胁情报的工具越来越多,每种工具都有独特的形式和功能,以满足组织的网络安全需求。
将几种工具和威胁情报平台的功能结合起来,就能创建最完整、最彻底的威胁检测和预防计划。
威胁情报工具及其功能概述
- 威胁情报平台( TIP) :自动收集、汇总和分析外部威胁数据。
- 安全信息和事件管理系统(SIEM) :收集和分析由系统日志、事件数据和其他上下文来源组成的内部威胁数据。
- 威胁情报馈送:提供与当前或正在发生的网络威胁相关的实时信息流,通常侧重于特定的关注领域(IP 地址、域、恶意软件签名等)。
- 沙箱工具:提供受控环境,组织可在其中分析或打开具有潜在危险的文件或程序,而不会对组织的内部系统造成风险。
- 开放源情报 (OSINT) 工具:从公共来源(社交媒体、博客、公开论坛等)收集数据。
威胁情报服务:它们如何加强网络安全
威胁情报服务通过为 CISO 和 SOC 提供开发和优化网络威胁分析、预防和恢复计划的工具,为组织的网络安全工作提供支持。有效的 CTI 支持可提高对威胁的整体认识,实现主动防御措施,加强事件响应计划,改进决策和风险管理。
事件响应在威胁情报计划中的作用
事件响应计划(IRP) 在威胁情报计划中具有多种作用。IRP 概述了组织如何应对网络安全事件并从中恢复。除了确保组织做好应对网络攻击的准备外,计划周密的 IRP 还将提供各种类型的威胁情报,可用于改进未来的网络安全措施。

威胁情报的实际实施
网络威胁情报的实际实施首先要确定明确的目标,并从各种内部和外部来源收集相关数据。数据分析后,可用于生成可操作的情报,并将其整合到现有的网络安全计划中。
将威胁情报纳入网络安全策略
将 CTI 计划的见解应用到整体网络安全策略中,将提高威胁预防意识、攻击预防和事件响应能力。需要注意的是,这种整合可能要求调整现有流程、调整控制措施、更新计划或修改用户培训计划。
威胁追踪:积极主动的网络安全方法
老练的黑客可以潜入网络,在搜索或收集数据、登录凭证或其他敏感资料时不被发现。威胁追踪是在内部网络中主动搜索以前未发现的网络威胁的做法。威胁追踪对于消除高级持续威胁(APT)至关重要。
威胁情报生命周期:概述
威胁情报生命周期是 CISO 制定和实施网络威胁情报计划过程的纲要。它是一个持续将原始威胁数据转化为可操作的威胁情报的框架,然后可用于识别和避免对组织网络安全的威胁。

图 2.Unit 42 威胁情报生命周期
了解威胁情报生命周期的各个阶段
- 发现:从各种来源发现威胁情报数据(指标、对手战术、工具等),这些来源可以包括内部调查和来源、威胁情报源、合作关系、其他开源威胁情报(OSINT)。
- 系列:一旦发现威胁情报数据,就收集并存储这些数据,以便进行更多处理和分析。
- 处理:清理数据,删除重复、不一致和不相关的信息。然后将原始数据转换为适合分析的格式,并通过附加的上下文和元数据进行增强。
- 分析:对处理过的数据进行深入分析,以确定模式、趋势和潜在威胁,并采用各种技术挖掘隐藏的洞察力。然后评估已识别威胁的可信度和影响。
- 行动:准备并向相关利益攸关方(包括事件响应团队、SOC 和高管)分发可操作的情报。确保根据不同受众的具体需求调整信息,使其简洁明了。
- 反馈回路:获取主要利益相关方对所提供威胁情报的有效性和相关性的反馈。然后根据反馈和经验教训,持续完善和改进收集、处理、分析和流程。
建立有效的威胁情报计划
除了寻找合适的工具和搜索数据外,建立一个有效的 CTI 计划还需要一个以策略为导向的计划、一个专家团队、井然有序的流程,以及整个组织对持续学习和改进的承诺。
建立威胁情报计划的关键步骤
- 确定目标和目的。
- 分配资源和配备有适当技能的工作人员。
- 实施相关数据收集流程。
- 制定数据分析和情报生成方法。
- 在网络安全计划中整合并利用情报。
- 确定传播情报的格式。
- 收集和审查反馈意见。
- 确保合规性,遵守行业标准、法规和内部管理政策。

图 3.Unit 42 CTI 计划阶段
威胁情报中持续学习和适应的重要性
随着威胁参与者的知识越来越丰富、手段越来越先进,网络威胁的形势也在持续变化。一项有效的 CTI 计划只有像其旨在挫败的威胁一样充满活力,才能保持其有效性。从以往的事件和威胁情报反馈中吸取经验教训,使组织能够持续调整和增强 CTI 计划的要素,尽可能保持其相关性和有效性。
威胁情报常见问题解答
网络威胁情报是收集和分析组织面临的潜在和现有网络威胁信息的过程。
网络威胁情报的目的是为组织提供可操作的见解,帮助他们了解威胁参与者使用的战术、技术和程序。收集到的信息使组织能够制定和实施有效的安全措施,防止或减轻网络攻击的影响。
网络威胁情报趋势将因行业、地域和威胁类型而异。不过,有几个总体趋势会影响到各类企业和组织。
- 网络攻击越来越多,代价也越来越高。
- 网络犯罪分子正在合作并变得专业化。
- 僵尸网络和自动恶意软件部署工具正变得越来越复杂。
- 国家支持的行动者与网络犯罪分子之间的合作呈上升趋势。
- 各种规模的组织都处于危险之中,尤其是中小型企业(SMB)。
互联网的出现创造了前所未有的信息共享和连接水平。随着数字领域的扩展,保护个人和组织免受日益严重的网络攻击威胁的需求也在增加。
快速增长的威胁催生了早期的网络保护协议,如 IP 和 URL 黑名单以及防病毒程序和防火墙等网络威胁拦截系统。
进入 2000 年代后,网络攻击日益猖獗,如 "ILOVEYOU "蠕虫病毒造成的损失高达 150 亿美元。垃圾邮件、僵尸网络和特洛伊木马变得更加普遍,对更强大、更主动的网络安全措施的需求也变得更加明确。然而,正是高级持续威胁(APT)的出现点燃了网络威胁情报运动。企业和政府都成立了网络威胁情报小组,而网络安全公司则开始帮助组织更好地预测和预防网络威胁。
自 2010 年以来,网络攻击者变得更加老练,破坏力也更大。复杂的黑客攻击、恶意软件和勒索软件攻击导致 CTI 转向关注威胁参与者的战术、技术和程序,即现在所说的 TTP。这些全面的分析为组织提供了预测威胁所需的洞察力和理解力,而不仅仅是对威胁做出反应。
现代网络威胁情报是任何网络安全计划不可或缺的组成部分,会影响资源分配、威胁分析政策和事件响应计划。