網絡威脅情報 (CTI) 考慮了網絡威脅的完整背景，以便為高度針對性的防御行動的設計提供信息。CTI 結合了多種因素，包括網絡犯罪分子的動機和危害指標 (IOC)，以幫助安全團隊了解和準備應對預期網絡威脅的挑戰。通過讓安全團隊提前了解即將發生的網絡威脅，網絡威脅情報鼓勵采取積極主動的網絡安全方法——最有效的網絡防御類型。

網絡威脅情報與其他類型的網絡情報有什么區別？

傳統的網絡情報計劃對網絡安全采取了廣泛的方法。他們的目標是改善 IT 網絡的安全狀況，以提高其抵御所有類型網絡威脅的能力。這可能包括解決軟件漏洞、在整個威脅環境中部署安全控制以及監控攻擊向量。

另一方面，網絡威脅情報的主要目標是幫助安全團隊針對每個特定的網絡威脅定制防御措施。網絡威脅情報不是獨立的網絡攻擊防御策略。這種防御策略的動態特性與更靜態的攻擊面管理方法相得益彰。當協同使用時，由此產生的方法是一個全面的網絡安全計劃，符合不斷變化的威脅形勢。

為什么網絡威脅情報很重要？

網絡威脅情報至關重要，因為它是防御高級持續性威脅 (APT)的最佳方法之一。

• 高級持續威脅是一種長期的網絡攻擊活動，網絡犯罪分子隱藏在被破壞的網絡中以持續監控和竊取敏感數據。

APT 惡意軟件比勒索軟件等其他惡意軟件更復雜。此外，與網絡釣魚活動不同，APT 攻擊主要不是自動化的。它們由有組織和復雜的網絡犯罪集團管理。

為了應對這些解決問題、制定戰略和規避網絡威脅的防御措施，您需要領先他們一步，而這只有在運營威脅情報揭示他們的策略和可能的后續步驟時才有可能。組織開始認識到戰略威脅情報可能帶來的網絡彈性的廣度。大約 72% 的企業計劃增加其威脅情報計劃預算。盡管越來越多的組織認識到威脅數據的好處，但很少有人了解如何充分利用其洞察力，而只使用威脅情報數據饋送來支持防火墻和SIEM 功能。

當了解和利用威脅情報工具的潛力時，安全專業人員可以：

• 做出明智的事件響應決策
• 了解黑客的決策過程
• 通過情報報告向 CISO、利益相關者和決策者證明安全運營的有效性
• 了解即將發生的網絡攻擊的策略、技術和程序 (TTP)

威脅情報框架

威脅情報框架由代表三種不同類型威脅情報的三個支柱組成：

• 戰術情報
• 運營智能
• 戰略情報

與其一次性實施威脅情報計劃的全部范圍，不如從關注每種單獨類型的威脅情報開始。這不僅會簡化整體實施過程，而且自然會導致開發最全面的威脅情報程序。

支柱 1：戰術威脅情報

戰術情報組件強制考慮每個威脅的更廣泛背景，而不是僅僅將每個威脅視為獨立事件。戰術情報考慮妥協指標 (IOC) 和攻擊指標 (IOA)以在不久的將來創建威脅情景。這包括：

• 可疑的 IP 地址
• 文件哈希
• 惡意域名

由于此威脅情報類別中的數據收集非常簡單，因此理想情況下應該使用機器學習安全解決方案實現自動化。旨在識別盡可能多的自動化機會。這將建立一個可擴展的網絡威脅情報基礎，從而為未來的成功進行優化。

戰術威脅情報數據饋送應該：

• 考慮每個數據類別的生命周期，以盡量減少誤報。惡意IP地址和域名等數據不斷變化，因為黑客不斷更新它們以逃避檢測。
• 自動化惡意軟件檢測。
• 讓安全團隊了解最新的威脅。
• 包括不斷更新的國際奧委會提要。

支柱 2：運營網絡威脅情報

如果戰術威脅情報饋送是支持響應團隊的唯一數據集，那么未來的攻擊不太可能被攔截。這是因為可能被利用的特定 IOC 仍然未知。網絡威脅情報的操作組件通過分析已知的網絡犯罪分子來識別他們可能的攻擊方法來解決這個問題。該組件不能完全委托給開源提要和機器學習。需要人類直覺來將戰術威脅情報與威脅行為者配置文件相結合，以實時預測可能的威脅行為者運動。

網絡威脅情報旨在回答以下問題：

• 誰是可能的網絡攻擊的幕后黑手？
• 他們為什么要針對我們？
• 他們將如何瞄準我們？

負責監管合規的安全團隊從運營情報中獲益最多，因為它可以幫助他們優先考慮對安全態勢影響最大的風險。風險優先級（例如供應商分層）支持對所有端點和暴露（包括零日攻擊）進行更智能的漏洞管理。

支柱 3：戰略威脅情報

戰略威脅情報進一步拓寬了威脅行為者動機的背景，包括與全球網絡犯罪網絡的潛在聯系。大規模網絡攻擊，例如無處不在的SolarWinds 供應鏈攻擊，是受特定地緣政治事件驅動的高度復雜的操作。對不斷加劇的地緣政治緊張局勢的深入了解可能會揭示潛在的網絡攻擊意圖，尤其是在您的國家與相關國家結盟的情況下。

網絡威脅情報生命周期

原始數據需要轉化為可操作的情報，以生成對網絡安全戰略有用的數據。這是通過稱為威脅情報生命周期的過程來實現的。鑒于威脅形勢的不斷演變，這是一個具有挑戰性的問題。為了保持其相關性，威脅情報生命周期包括一個鼓勵持續改進數據質量的反饋循環。威脅情報生命周期的六個階段概述如下。

1. 指定你的目標

在解決潛在的網絡威脅之前，需要制定合理的行動計劃。該路線圖應基于您的具體網絡安全反對意見。您的安全異議取決于您獨特的攻擊面，因此請確保您對整個攻擊面有信心。理想情況下，這應該包括暗網曝光。攻擊面監控解決方案將識別您最關鍵的漏洞，最有可能成為網絡犯罪分子的目標。這種情報應包含在您的網絡彈性路線圖中。

2. 數據收集

明確定義您的反對意見后，您的安全團隊就可以設計互補的數據收集策略。

此過程將涉及引用威脅情報的三個子類別：

• 戰術威脅情報
• 運營威脅情報
• 戰略威脅情報

3. 數據處理

收集到相關威脅情報數據后，需要將其處理成有利于分析的格式。

4. 數據分析

在分析階段，安全團隊確定支持步驟 1 中指定的整體安全反對的潛在響應工作。

5. 傳播

通過分析威脅情報數據并確定必要的響應工作，安全團隊現在可以告知利益相關者他們攔截即將發生的網絡攻擊的計劃。這種通信通常采用簡潔的單頁報告的形式，沒有網絡安全深奧的內容，以鼓勵利益相關者的信任和認可。

6. 反饋

在反饋階段結束之前，威脅情報周期是不完整的。反饋循環至關重要，因為它可以確保威脅情報數據保持更新和相關。反饋機制還將確保您的威脅情報計劃對利益相關者和決策者的任何即興方向變化保持敏感。

網絡威脅情報和 APT 攻擊生命周期

在APT 攻擊期間，威脅行為者在滲透、擴展和數據提取之間循環，因為他們更深入地向敏感資源的網絡埋藏。網絡威脅情報是 APT 防御中的寶貴資源，因為它是為數不多的適應黑客活動的安全控制之一。將多個網絡威脅情報源集成到 APT 攻擊生命周期中，可以預測和阻止 APT 黑客進入其攻擊序列的下一階段。