目录

网络威胁情报定义

网络威胁情报的优势

常见攻击指标(IOC)

数据与情报

谁从威胁情报中受益？

我的组织是否具备威胁情报能力？

全面网络威胁情报的价值

提供威胁情报的三种方式

战略威胁情报

战术威胁情报

运营威胁情报

威胁情报解决方案中应关注什么

简化对各种数据的访问

机器学习能力

自动操作

跨行业支持

速度

易于集成

企业对网络威胁情报的认识存在哪些错误

了解其业务的价值

错误的源

---

网络威胁情报定义

网络威胁情报是一种灵活、动态的技术，它利用从威胁历史中收集的数据和分析来阻止和补救针对目标网络的网络攻击。威胁情报本身并不是基于硬件的解决方案。相反，这种战略情报涉及战术技术和程序，是组织整体安全架构的重要组成部分。由于威胁会随着时间的推移而发展和增加，网络安全系统依赖威胁情报和分析来确保捕获尽可能多的攻击。

有了威胁情报，您就能获得知识，从而能够防止或减轻针对您网络的攻击。网络威胁情报系统基于可靠的、可操作的威胁数据收集，例如谁或什么在攻击您的网络、他们为什么选择您作为目标以及如何发现您的系统已被入侵的迹象。网络情报和分析的好处不仅限于IT团队、分析师和管理员。整个组织都可以从全面且以行动为重点的网络威胁情报系统中获益。

网络威胁情报的优势

如果没有告知网络安全工具需要警惕哪些威胁以及如何使用预先设计的战术技术和程序来缓解这些威胁，网络安全工具几乎无能为力。网络威胁情报为网络安全系统管理员提供了制定最佳网络保护计划所需的知识。在某些情况下，设备获取的用于增强网络威胁情报的数据元素可用于自动攻击威胁。在其他情况下，网络威胁情报是网络管理员和IT安全团队了解哪些威胁最危险、它们如何攻击以及如何预防它们的必要工具。

通过投资网络威胁情报，企业可以利用威胁数据库，其中包含详细说明大量威胁的技术信息。当安全团队或用于保护网络的自动化系统将这个知识库投入使用时，企业的安全性将得到显著增强。因此，这种运营情报使分析师能够获得可付诸行动的见解。

常见攻击指标(IOC)

通常，网络威胁情报和分析系统可能会发现可疑的互联网协议(IP)地址、统一资源定位器(URL)或已知用于攻击企业的域名。如果某个终端与其中一个IP地址或其他资产进行了交互，则可能意味着公司的网络已被入侵。此外，访问特定电子邮件地址、某些电子邮件主题或附件和链接也可能表明系统已被入侵。将这些技术信息纳入威胁情报方法可以增强您的组织。

某些文件名、文件哈希、IP地址、动态链接库(DLL)或注册表项是常见的入侵指标。网络安全情报系统中的分析师可以维护一份常见入侵指标列表和威胁行为者使用的其他工具，然后过滤掉潜在的危险通信和其他网络活动。通过这种入侵指标的使用，威胁情报和分析可用于改善组织的安全状况。

数据与情报

有效的网络安全情报系统会明确区分威胁数据收集和威胁情报，以阻止威胁行为者。网络威胁情报包括数据收集和处理，以检测、阻止和缓解威胁。数据收集本身提供的信息是无用的，除非在情报背景下进行分析。分析揭示了运营情报，例如可能即将发生的威胁类型、网络中的弱点以及不同的威胁来源。这些信息被整理并实施到网络威胁情报和分析系统中。

换句话说，数据收集是网络威胁情报的基石之一。有了正确的工具，网络情报安全专业人员就可以利用威胁数据源以及有关网络和业务的技术信息为组织制定更完整的保护计划。

谁从威胁情报中受益？

威胁情报为大大小小的组织以及各个学科带来益处，因为这种战略情报和分析涉及处理数据，并利用数据来更好地了解组织正在面临或可能面临的攻击者。无论组织及其分析师使用何种类型的威胁情报，这一点都是正确的。威胁情报还使组织能够制定快速、果断的事件响应措施，并主动采取措施，领先攻击者一步。

对于中小型企业(SMB)来说，威胁情报提供了原本无法获得的保护，因为它为他们提供了大量可能攻击其网络的威胁库。另一方面，大型企业可以利用网络情报系统的信息来更好地分析不良行为者、他们的工具以及他们试图如何使用它们。

1. 安全/信息技术分析师可以使用网络威胁情报来更好地预防和检测威胁。

2. 安全运营中心(SOC)可以利用威胁情报来决定必须关注哪些事件，并使用有关风险级别的数据以及它们如何影响组织及其分析师的工作。

3. 情报分析员可以从网络安全威胁情报中受益，因为他们可以利用情报来查找并追踪追逐组织信息的威胁行为者。

4. 高级管理层可以依靠网络威胁情报来更好地了解公司面临的风险、其对运营的影响以及如何应对这些风险。

我的组织是否具备威胁情报能力？

网络威胁情报遵循战略情报生命周期，包含以下阶段：

1. 规划与方向
2. 收藏
3. 加工
4. 分析
5. 传播
6. 反馈

因此，如果您具备以下要素，您组织的分析师就具备了获取威胁情报的能力：

1. 在汇编威胁情报的同时检测威胁的能力

2. 一种威胁情报收集与分析数据的系统

3. 一种分析特定来源的数据的方法，用于对付情报报告中现有的威胁以及未来可能出现的类似类型的攻击

4. 一种应用从分析中获得的战术情报的机制。这是威胁情报从概念转变为可操作的地方

全面网络威胁情报的价值

全面的网络威胁情报计划的主要好处是确保组织做好准备并采取主动行动。威胁情报使组织能够访问从世界各地收集的技术信息库以及可以大大增强组织防御能力的人类知识。

这是通过以对手为中心的方法实现的，该方法可以识别最有可能危害网络及其各个组件的威胁。它也可以根据组织的需求进行定制。此外，如果公司发展壮大或需要扩大其针对的威胁类型，则可以扩大网络威胁情报的规模。

威胁情报计划的不同组成部分可以缩短事件响应时间。由于警报具有优先级，组织可以在更短的时间内做出响应，并降低违规行为造成重大后果的风险。此外，最终，威胁情报可以增强IT团队与利益相关者之间的沟通，同时为那些可能不熟悉网络安全细节的人提供了解威胁形势的窗口。

提供威胁情报的三种方式

最终传播的威胁情报的格式和呈现方式取决于受众、情报需求以及信息来源。这些因素会影响用于汇编战术情报的战术技术和程序。为了简化交付过程，威胁情报分为三种类型：战略、战术和作战。

战略威胁情报

战略情报让利益相关者可以鸟瞰组织的威胁形势及其风险。这有助于受众（例如高管和关键决策者）就如何在情报背景下使用信息做出高层决策。战略威胁情报和分析可能会使用安全组织分析师提供的内部政策文件、新闻报道、白皮书或其他研究材料。

战术威胁情报

战术情报是关键要求之一，它定义了威胁行为者的技术和程序，因为它们与公司的风险有关。它旨在帮助防御者了解组织可能受到攻击的方式以及如何使用情报来防御或减轻这些网络攻击。

运营威胁情报

运营威胁情报涉及提供有关网络攻击的信息，无论它们是单一事件还是长期活动。运营情报和分析为利益相关者提供了见解，事件响应团队可以利用这些见解更好地理解攻击要素，例如攻击的时间、目的以及攻击方式。

威胁情报解决方案中应关注什么

尽管威胁情报是任何网络安全方法限制风险的必要元素，但请确保您实施的系统足以满足您的要求。无论您的组织规模或性质如何，您都需要部署威胁情报解决方案的几个组件来控制风险。

简化对各种数据的访问

来自各种来源的原始数据越多越好，因为威胁历史数据集中的每个数据收集点（如果它们来自正确的来源）都可用于防御恶意行为者。因此，您拥有的数据越多，您的防御就越强。您还需要包含机器学习功能的威胁情报和分析，因为这会直接影响数据集的大小和数量。

机器学习能力

机器学习能够识别模式，并将其用于威胁情报解决方案中，在威胁入侵您的网络之前对其进行预测。负责IT安全的人员可以利用机器学习生成的数据集来检测并评估各种危险，包括高级持续性威胁(APT)、恶意软件、勒索软件和零日威胁，从而增加威胁情报的实用性。

自动操作

网络威胁情报计划必须包含对威胁的自动响应。自动化可以实现多种目的。自动威胁情报数据收集和检测可减轻IT安全团队的职责，包括定位和记录每个涉及攻击面的威胁。此外，当网络战略情报在识别威胁后纳入自动行动步骤时，网络及其连接的设备将得到更好的保护。

虽然某些威胁行为分析最好使用人类解决问题和创造性思维来完成，但威胁可以通过智能系统自动遏制和消除。借助智能系统，您还可以自动采取措施保护网络的其余部分免受威胁，例如在沙盒环境中进行恶意软件分析。

跨行业支持

虽然没有什么可以（或应该）消除每个行业垂直领域的竞争因素，但从很多方面来看，网络威胁情报安全是多位分析师的团队努力的结果。全面的网络威胁情报和分析解决方案融合了您所在行业以及网络威胁情报社区内各种专业人士和组织的见解。

有关威胁类型及其行为方式的信息可以共享，网络威胁情报计划应纳入这些关键信息。此外，某些威胁对某些行业的影响可能大于其他行业。因此，在您的特定行业中，应该有关于最新攻击、恶意行为者和负责的软件以及过去如何击败它们的信息。

网络威胁情报专家还可以访问有关这些威胁如何影响类似业务的数据，包括成功攻击造成的停机时间以及对组织的财务影响。

速度

网络威胁情报程序对威胁做出反应的速度是其成功的关键因素，也是情报生命周期效率的重要因素。如果战术情报得到适当利用，几分钟的时间就能决定是昂贵的攻击还是小规模的干扰。通过快速响应，可以检测到威胁并分析情报信息。有关其行为的威胁情报数据可以快速投入使用，以防止下一次攻击。

然而，速度不应成为表现不佳的借口。快速响应也必须是准确的。因此，一个适当的网络威胁情报系统可以过滤掉误报，并识别出造成重大损害可能性较低的威胁。

易于集成

集成网络威胁情报系统应该简单易行。虽然满足每个组织的需求肯定需要时间和仔细思考，但网络安全基础设施应该与您的网络很好地集成。

理想情况下，所有网络威胁情报数据收集都应通过单个仪表板访问。如果仪表板可自定义，管理员可以指定谁有权访问哪些内容。如果威胁情报系统开箱即用，并且具有使其能够覆盖常见设备的基础设施，那么集成也更容易，从而使其几乎立即成为一种有价值的工具。

企业对网络威胁情报的认识存在哪些错误

了解其业务的价值

尽管威胁情报关注的是重要的业务问题，但决策者很容易低估其价值。这通常不是由于利益相关者缺乏理解，而是由于网络安全团队的解释和演示不足。网络威胁分析演示很容易演变成华而不实的图形和统计数据展示，从而失去其吸引力。

为了防止这种误解，威胁分析团队必须概述传播阶段所述威胁导致的具体业务问题。此外，行动步骤应详细说明，包括它们如何有利于企业的盈利。

错误的源

由于威胁分析系统中有如此多的源可供选择，因此很容易选择一个与您的业务不相关的源。确定最适合您业务的源非常重要。这通常与您所在行业和类似规模的其他企业使用的源相似，但您的基础设施或产品和服务有时可能需要与非常相似的企业不同的源。

此外，请记住，如果您的攻击面包括特定高管或公司其他人员的个人数据，则可能需要使用与仅尝试保护数字资产时不同的源。有许多因素将决定您如何选择源，但只要仔细规划，您就可以做出正确的选择。