網(wǎng)絡(luò)威脅情報(bào) (CTI) 考慮了網(wǎng)絡(luò)威脅的完整背景，以便為高度針對(duì)性的防御行動(dòng)的設(shè)計(jì)提供信息。CTI 結(jié)合了多種因素，包括網(wǎng)絡(luò)犯罪分子的動(dòng)機(jī)和危害指標(biāo) (IOC)，以幫助安全團(tuán)隊(duì)了解和準(zhǔn)備應(yīng)對(duì)預(yù)期網(wǎng)絡(luò)威脅的挑戰(zhàn)。通過(guò)讓安全團(tuán)隊(duì)提前了解即將發(fā)生的網(wǎng)絡(luò)威脅，網(wǎng)絡(luò)威脅情報(bào)鼓勵(lì)采取積極主動(dòng)的網(wǎng)絡(luò)安全方法——最有效的網(wǎng)絡(luò)防御類(lèi)型。

網(wǎng)絡(luò)威脅情報(bào)與其他類(lèi)型的網(wǎng)絡(luò)情報(bào)有什么區(qū)別？

傳統(tǒng)的網(wǎng)絡(luò)情報(bào)計(jì)劃對(duì)網(wǎng)絡(luò)安全采取了廣泛的方法。他們的目標(biāo)是改善 IT 網(wǎng)絡(luò)的安全狀況，以提高其抵御所有類(lèi)型網(wǎng)絡(luò)威脅的能力。這可能包括解決軟件漏洞、在整個(gè)威脅環(huán)境中部署安全控制以及監(jiān)控攻擊向量。

另一方面，網(wǎng)絡(luò)威脅情報(bào)的主要目標(biāo)是幫助安全團(tuán)隊(duì)針對(duì)每個(gè)特定的網(wǎng)絡(luò)威脅定制防御措施。網(wǎng)絡(luò)威脅情報(bào)不是獨(dú)立的網(wǎng)絡(luò)攻擊防御策略。這種防御策略的動(dòng)態(tài)特性與更靜態(tài)的攻擊面管理方法相得益彰。當(dāng)協(xié)同使用時(shí)，由此產(chǎn)生的方法是一個(gè)全面的網(wǎng)絡(luò)安全計(jì)劃，符合不斷變化的威脅形勢(shì)。

為什么網(wǎng)絡(luò)威脅情報(bào)很重要？

網(wǎng)絡(luò)威脅情報(bào)至關(guān)重要，因?yàn)樗欠烙呒?jí)持續(xù)性威脅 (APT)的最佳方法之一。

• 高級(jí)持續(xù)威脅是一種長(zhǎng)期的網(wǎng)絡(luò)攻擊活動(dòng)，網(wǎng)絡(luò)犯罪分子隱藏在被破壞的網(wǎng)絡(luò)中以持續(xù)監(jiān)控和竊取敏感數(shù)據(jù)。

APT 惡意軟件比勒索軟件等其他惡意軟件更復(fù)雜。此外，與網(wǎng)絡(luò)釣魚(yú)活動(dòng)不同，APT 攻擊主要不是自動(dòng)化的。它們由有組織和復(fù)雜的網(wǎng)絡(luò)犯罪集團(tuán)管理。

為了應(yīng)對(duì)這些解決問(wèn)題、制定戰(zhàn)略和規(guī)避網(wǎng)絡(luò)威脅的防御措施，您需要領(lǐng)先他們一步，而這只有在運(yùn)營(yíng)威脅情報(bào)揭示他們的策略和可能的后續(xù)步驟時(shí)才有可能。組織開(kāi)始認(rèn)識(shí)到戰(zhàn)略威脅情報(bào)可能帶來(lái)的網(wǎng)絡(luò)彈性的廣度。大約 72% 的企業(yè)計(jì)劃增加其威脅情報(bào)計(jì)劃預(yù)算。盡管越來(lái)越多的組織認(rèn)識(shí)到威脅數(shù)據(jù)的好處，但很少有人了解如何充分利用其洞察力，而只使用威脅情報(bào)數(shù)據(jù)饋送來(lái)支持防火墻和SIEM 功能。

當(dāng)了解和利用威脅情報(bào)工具的潛力時(shí)，安全專(zhuān)業(yè)人員可以：

• 做出明智的事件響應(yīng)決策
• 了解黑客的決策過(guò)程
• 通過(guò)情報(bào)報(bào)告向 CISO、利益相關(guān)者和決策者證明安全運(yùn)營(yíng)的有效性
• 了解即將發(fā)生的網(wǎng)絡(luò)攻擊的策略、技術(shù)和程序 (TTP)

威脅情報(bào)框架

威脅情報(bào)框架由代表三種不同類(lèi)型威脅情報(bào)的三個(gè)支柱組成：

• 戰(zhàn)術(shù)情報(bào)
• 運(yùn)營(yíng)智能
• 戰(zhàn)略情報(bào)

與其一次性實(shí)施威脅情報(bào)計(jì)劃的全部范圍，不如從關(guān)注每種單獨(dú)類(lèi)型的威脅情報(bào)開(kāi)始。這不僅會(huì)簡(jiǎn)化整體實(shí)施過(guò)程，而且自然會(huì)導(dǎo)致開(kāi)發(fā)最全面的威脅情報(bào)程序。

支柱 1：戰(zhàn)術(shù)威脅情報(bào)

戰(zhàn)術(shù)情報(bào)組件強(qiáng)制考慮每個(gè)威脅的更廣泛背景，而不是僅僅將每個(gè)威脅視為獨(dú)立事件。戰(zhàn)術(shù)情報(bào)考慮妥協(xié)指標(biāo) (IOC) 和攻擊指標(biāo) (IOA)以在不久的將來(lái)創(chuàng)建威脅情景。這包括：

• 可疑的 IP 地址
• 文件哈希
• 惡意域名

由于此威脅情報(bào)類(lèi)別中的數(shù)據(jù)收集非常簡(jiǎn)單，因此理想情況下應(yīng)該使用機(jī)器學(xué)習(xí)安全解決方案實(shí)現(xiàn)自動(dòng)化。旨在識(shí)別盡可能多的自動(dòng)化機(jī)會(huì)。這將建立一個(gè)可擴(kuò)展的網(wǎng)絡(luò)威脅情報(bào)基礎(chǔ)，從而為未來(lái)的成功進(jìn)行優(yōu)化。

戰(zhàn)術(shù)威脅情報(bào)數(shù)據(jù)饋送應(yīng)該：

• 考慮每個(gè)數(shù)據(jù)類(lèi)別的生命周期，以盡量減少誤報(bào)。惡意IP地址和域名等數(shù)據(jù)不斷變化，因?yàn)楹诳筒粩喔滤鼈円蕴颖軝z測(cè)。
• 自動(dòng)化惡意軟件檢測(cè)。
• 讓安全團(tuán)隊(duì)了解最新的威脅。
• 包括不斷更新的國(guó)際奧委會(huì)提要。

支柱 2：運(yùn)營(yíng)網(wǎng)絡(luò)威脅情報(bào)

如果戰(zhàn)術(shù)威脅情報(bào)饋送是支持響應(yīng)團(tuán)隊(duì)的唯一數(shù)據(jù)集，那么未來(lái)的攻擊不太可能被攔截。這是因?yàn)榭赡鼙焕玫奶囟?IOC 仍然未知。網(wǎng)絡(luò)威脅情報(bào)的操作組件通過(guò)分析已知的網(wǎng)絡(luò)犯罪分子來(lái)識(shí)別他們可能的攻擊方法來(lái)解決這個(gè)問(wèn)題。該組件不能完全委托給開(kāi)源提要和機(jī)器學(xué)習(xí)。需要人類(lèi)直覺(jué)來(lái)將戰(zhàn)術(shù)威脅情報(bào)與威脅行為者配置文件相結(jié)合，以實(shí)時(shí)預(yù)測(cè)可能的威脅行為者運(yùn)動(dòng)。

網(wǎng)絡(luò)威脅情報(bào)旨在回答以下問(wèn)題：

• 誰(shuí)是可能的網(wǎng)絡(luò)攻擊的幕后黑手？
• 他們?yōu)槭裁匆槍?duì)我們？
• 他們將如何瞄準(zhǔn)我們？

負(fù)責(zé)監(jiān)管合規(guī)的安全團(tuán)隊(duì)從運(yùn)營(yíng)情報(bào)中獲益最多，因?yàn)樗梢詭椭麄儍?yōu)先考慮對(duì)安全態(tài)勢(shì)影響最大的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)優(yōu)先級(jí)（例如供應(yīng)商分層）支持對(duì)所有端點(diǎn)和暴露（包括零日攻擊）進(jìn)行更智能的漏洞管理。

支柱 3：戰(zhàn)略威脅情報(bào)

戰(zhàn)略威脅情報(bào)進(jìn)一步拓寬了威脅行為者動(dòng)機(jī)的背景，包括與全球網(wǎng)絡(luò)犯罪網(wǎng)絡(luò)的潛在聯(lián)系。大規(guī)模網(wǎng)絡(luò)攻擊，例如無(wú)處不在的SolarWinds 供應(yīng)鏈攻擊，是受特定地緣政治事件驅(qū)動(dòng)的高度復(fù)雜的操作。對(duì)不斷加劇的地緣政治緊張局勢(shì)的深入了解可能會(huì)揭示潛在的網(wǎng)絡(luò)攻擊意圖，尤其是在您的國(guó)家與相關(guān)國(guó)家結(jié)盟的情況下。

網(wǎng)絡(luò)威脅情報(bào)生命周期

原始數(shù)據(jù)需要轉(zhuǎn)化為可操作的情報(bào)，以生成對(duì)網(wǎng)絡(luò)安全戰(zhàn)略有用的數(shù)據(jù)。這是通過(guò)稱(chēng)為威脅情報(bào)生命周期的過(guò)程來(lái)實(shí)現(xiàn)的。鑒于威脅形勢(shì)的不斷演變，這是一個(gè)具有挑戰(zhàn)性的問(wèn)題。為了保持其相關(guān)性，威脅情報(bào)生命周期包括一個(gè)鼓勵(lì)持續(xù)改進(jìn)數(shù)據(jù)質(zhì)量的反饋循環(huán)。威脅情報(bào)生命周期的六個(gè)階段概述如下。

1. 指定你的目標(biāo)

在解決潛在的網(wǎng)絡(luò)威脅之前，需要制定合理的行動(dòng)計(jì)劃。該路線(xiàn)圖應(yīng)基于您的具體網(wǎng)絡(luò)安全反對(duì)意見(jiàn)。您的安全異議取決于您獨(dú)特的攻擊面，因此請(qǐng)確保您對(duì)整個(gè)攻擊面有信心。理想情況下，這應(yīng)該包括暗網(wǎng)曝光。攻擊面監(jiān)控解決方案將識(shí)別您最關(guān)鍵的漏洞，最有可能成為網(wǎng)絡(luò)犯罪分子的目標(biāo)。這種情報(bào)應(yīng)包含在您的網(wǎng)絡(luò)彈性路線(xiàn)圖中。

2. 數(shù)據(jù)收集

明確定義您的反對(duì)意見(jiàn)后，您的安全團(tuán)隊(duì)就可以設(shè)計(jì)互補(bǔ)的數(shù)據(jù)收集策略。

此過(guò)程將涉及引用威脅情報(bào)的三個(gè)子類(lèi)別：

• 戰(zhàn)術(shù)威脅情報(bào)
• 運(yùn)營(yíng)威脅情報(bào)
• 戰(zhàn)略威脅情報(bào)

3. 數(shù)據(jù)處理

收集到相關(guān)威脅情報(bào)數(shù)據(jù)后，需要將其處理成有利于分析的格式。

4. 數(shù)據(jù)分析

在分析階段，安全團(tuán)隊(duì)確定支持步驟 1 中指定的整體安全反對(duì)的潛在響應(yīng)工作。

5. 傳播

通過(guò)分析威脅情報(bào)數(shù)據(jù)并確定必要的響應(yīng)工作，安全團(tuán)隊(duì)現(xiàn)在可以告知利益相關(guān)者他們攔截即將發(fā)生的網(wǎng)絡(luò)攻擊的計(jì)劃。這種通信通常采用簡(jiǎn)潔的單頁(yè)報(bào)告的形式，沒(méi)有網(wǎng)絡(luò)安全深?yuàn)W的內(nèi)容，以鼓勵(lì)利益相關(guān)者的信任和認(rèn)可。

6. 反饋

在反饋階段結(jié)束之前，威脅情報(bào)周期是不完整的。反饋循環(huán)至關(guān)重要，因?yàn)樗梢源_保威脅情報(bào)數(shù)據(jù)保持更新和相關(guān)。反饋機(jī)制還將確保您的威脅情報(bào)計(jì)劃對(duì)利益相關(guān)者和決策者的任何即興方向變化保持敏感。

網(wǎng)絡(luò)威脅情報(bào)和 APT 攻擊生命周期

在APT 攻擊期間，威脅行為者在滲透、擴(kuò)展和數(shù)據(jù)提取之間循環(huán)，因?yàn)樗麄兏钊氲叵蛎舾匈Y源的網(wǎng)絡(luò)埋藏。網(wǎng)絡(luò)威脅情報(bào)是 APT 防御中的寶貴資源，因?yàn)樗菫閿?shù)不多的適應(yīng)黑客活動(dòng)的安全控制之一。將多個(gè)網(wǎng)絡(luò)威脅情報(bào)源集成到 APT 攻擊生命周期中，可以預(yù)測(cè)和阻止 APT 黑客進(jìn)入其攻擊序列的下一階段。