什么是网络威胁情报呢？

您该如何应对网络安全警报呢？在糟糕的情况下，这些警报会引发恐慌，从而导致错误的决策，而这些决策反而有利于攻击者。如果不了解威胁的实际情况和本质，那么做出冲动的反应几乎是不可避免的。

威胁情报提供了一种解决方案。通过利用威胁情报，可以简化网络安全方面的挑战，从而提升决策能力。这为内部安全团队在对抗网络犯罪分子时提供了宝贵的优势。

本文将解释什么是威胁情报，探讨其运作方式，以及为什么情报对于现代企业来说至关重要。

威胁情报的定义

威胁情报工具收集、处理和分析数据其目的是确定网络威胁的性质与严重程度。他们将关于网络活动的原始数据转化为可操作的洞察信息，从而帮助安全专业人员更好地做出决策。这些洞察信息涵盖了当前、历史以及未来的攻击情况。

为什么威胁情报如此重要呢？

准确的威胁情报具有许多好处，这些好处远远超出了传统意义上的威胁检测与应对范畴。

首先，威胁情报可以帮助我们了解那些推动威胁行为者行为的因素。安全团队因此可以据此采取行动。基于证据的决策这些信息基于上下文、机制、关键指标、风险影响以及外部建议来提供。那些以前不为人知的威胁现在变得可以被理解和处理得了。

威胁情报提升效率与安全方面的领导力威胁分析工具所提供的信息有助于进行风险规划，并简化资源分配过程。CEO和COO们可以借此来减轻各种重大威胁的影响，同时避免不必要的支出。

威胁情报也是如此。主动的/积极的在不断变化的威胁环境中，主动出击至关重要。我们对对手的了解越深入，我们就能更好地应对各种威胁。威胁数据可以帮助我们识别最新的高级持续性威胁、勒索软件以及浏览器攻击手段。

各组织可以利用数据收集与分析技术，在威胁对网络终端或敏感数据造成破坏之前就加以防范。安全团队可以借此实现这一目标。预见威胁并相应地加强他们的安全防护措施。

威胁情报是如何运作的？

威胁情报平台会汇总有关各种威胁的数据，并将这些数据以易于使用的格式呈现出来。分析师们会分析来自全球情报数据库中的数据。他们通过寻找各种特征与模式来了解每种威胁的本质、敌对势力的目的以及有效的应对策略。

先进的威胁分析还利用了全球范围内关于历史网络攻击的数据库。机器学习工具则尽可能多地利用这些数据来识别新出现的威胁。

分析师们会将他们的分析结果整理成报告或报表，提交给公司的安全管理团队。安全专家则利用这些数据来做出基于证据的决策，从而应对各种威胁并采取必要的防御措施。

威胁情报的类型

我们可以将威胁情报分为四个子类别。

每个类别在了解威胁状况以及做出明智的决策方面都发挥着重要作用。

战略威胁情报

战略威胁数据将威胁和漏洞置于适当的背景下进行考虑。这有助于各组织做出正确的决策。这类威胁信息通常适用于高层管理人员的讨论。

例如，一家企业可能会考虑与一家营销公司建立数据共享的合作关系。战略威胁情报则提醒人们，这种合作关系可能会带来数据丢失的风险。

战术威胁情报

战术威胁情报考虑威胁的性质分析师们正在研究这些威胁是如何运作的、它们会采取什么手段来实施攻击、常见的攻击途径有哪些、攻击者会针对谁进行攻击，以及有哪些应对措施可以减轻这些威胁的影响。

这种网络威胁情报有助于企业了解最紧迫的网络攻击风险。企业可以根据实际证据来做出关于实施防护措施以及防御特定威胁的决策。

运营中的威胁情报

运营威胁情报需要考虑的因素包括：安全团队应该如何应对这些特定情况呢？ 网络威胁.

这种威胁情报类型涉及了解攻击者的动机。安全团队需要获取有关攻击发生的时间、攻击持续时长、网络威胁如何获取资源以及它们的总体意图等数据。

为了获取运营方面的情报，进行威胁侦查往往是一项具有挑战性的任务。攻击者通常会通过加密的渠道或私有的语言来隐藏自己的活动。因此，要解读敌方的意图，就需要具备相应的经验和技术能力。

技术威胁情报

技术威胁情报，指的是与技术相关的威胁信息。正在进行的网络攻击分析师们会定义并监控各种“违规指标”，这些指标能够识别出可疑的活动，从而触发相应的应对措施。所谓“违规指标”种类繁多，包括但不限于以下几种：

• 邮件中包含的疑似钓鱼内容的关键词
• 与威胁行为者相关的IP地址
• 来自以往攻击的恶意软件签名信息
• 异常的登录模式，比如反复出现登录失败的情况，或者在某些特定的时间进行登录。
• 没有业务上的正当理由，却出现了数据库使用量的上升。
• 请求进行特权提升
• 应用程序安装过程中出现了一些无法解释的系统配置更改。

了解威胁情报的生命周期

威胁情报不仅仅是一系列独立任务的集合。将其形象化来看，可以将其视为一个持续性的过程或威胁情报循环。

这个循环会产生某种效果/影响。良性反馈循环确保事件处理的结果能够反馈到安全措施和检测流程中。威胁分析应该是动态的，随着时间的推移，分析结果应该会有所改善，从而提升整体的安全性。

网络威胁情报生命周期的六个阶段包括：

要求/条件

网络威胁情报体系的第一个步骤就是奠定坚实的基础。安全团队需要做好这项工作。明确威胁情报系统所追求的目标是什么。以及它将如何做到这一点。

目标应该符合企业的整体需求，同时应识别出相关的网络威胁，避免执行不必要的安全任务。

这一阶段应该制定出一套在威胁生命周期中需要遵循的方法论。分析师们应该能够理解攻击者的动机、需要保护的关键资产，以及如何增强网络安全性。

数据收集

在网络威胁情报分析流程中，第二阶段就是数据收集。分析师们必须完成这一步骤。确定合适的数据来源同时，还需要建立相应的流程来持续收集信息。

数据来源可以包括（但不限于）网络流量日志、社交媒体上的讨论内容、安全相关论坛上的信息、媒体内容，以及公开可用的安全相关数据。

处理/加工

安全团队必须……对数据进行分类和整理为了实现全面的分析，这一阶段需要对数据库或电子表格进行格式化处理（或者利用专业的分析工具）。分析师还可能需要处理外语数据，并在必要时进行解密操作。

分析

这一步回答了几个关键性的问题。将原始数据转化为可操作的洞察力。例如，分析师可能会评估那些针对所在行业内的公司的新型网络威胁。或者，他们也可以寻找与他们的云基础设施相关的攻击行为的证据。

分析阶段还会提出相应的建议。安全团队会根据网络威胁情报，提出具体的行动方案，以提升组织的安全状况。

展示/呈现方式

下一阶段将分析成果转化为同事可以使用的格式。安全团队必须向整个组织的利益相关者和战略合作伙伴传达分析结果。分析师们则需要在必要时简化信息表达方式，使用易于理解的语言，同时准确传递技术信息。

反馈/意见

网络威胁情报生命周期中的最后阶段结束循环分析师会向相关方寻求反馈。这些信息有助于收集情报，从而发现存在的问题以及调整优先事项。在更日常层面来说，反馈也可以为改进沟通方式、让信息更容易被理解提供思路。

不同的威胁情报工具

网络威胁情报是一个多元化的领域，有多种方式可以将相关情报整合到你的安全体系中。常见的威胁情报工具包括：

威胁情报平台（TIPs）

TIPS是一种威胁情报服务。将外部威胁数据库与内部收集的数据相结合。

安全分析师在收到内部警报时，可以利用全球范围内的数据库来辅助分析。通过获取外部和内部的各种信息，分析师能够迅速了解攻击者的意图，进行风险评估，并预测攻击的结果。

这些工具可以在详细的层面上进行操作——能够检测与特定经济领域相关的网络威胁。不过，你也可以将威胁情报服务应用于更宏观的层面，从而检测到适用于所有市场领域的威胁。

威胁数据来源

威胁数据来源交付/传递 连续信息关于新的攻击团伙、攻击类型以及存在的漏洞或弱点。用户可以优化数据来源，以符合他们的组织需求（例如，可以专注于该组织所使用的应用程序）。

分析师还可以自定义推送内容中的技术信息。常见的包含在内的内容包括被标记为恶意程序的IP地址、虚假的网站域名、与犯罪团伙相关的文件哈希值，以及恶意软件的痕迹或特征。

威胁情报中通常也会包含趋势报告。这些报告会指出那些正在出现的攻击手段，从而在勒索软件攻击发生之前，让相关人员能够及时得到警示。

人工智能与机器学习工具

威胁数据的数量和复杂性使得分析变得非常困难。而人工智能和机器学习工具则能够简化这一任务，让小型团队或个人也能从全球范围内的数据来源中获取有用的信息。

威胁情报团队通常会利用人工智能来整理数据。人工智能工具能够逻辑性地组织数据集，从而让分析过程更加简单。在分析阶段，人工智能能够发现那些人类难以察觉的模式和线索。

人工智能还能让威胁防护工作更加高效。分析师可以利用人工智能来为各种威胁分配风险等级，从而让组织能够专注于那些至关重要的挑战。此外，基于人工智能的预测模型可以预测未来的网络攻击，从而提出如何有效利用有限资源的方法。