什么是威胁情报?

作者

Matthew Kosinski

Staff Editor

IBM Think

什么是威胁情报?

威胁情报(也称为网络威胁情报 (CTI))是有关网络安全威胁的详细、可操作的信息。威胁情报可帮助安全团队采取更主动的方式来检测、减轻和预防网络攻击。

威胁情报不仅仅是原始的威胁信息。它是经过关联和分析的威胁信息,可让安全专业人员深入了解其组织面临的潜在威胁,包括如何阻止这些威胁。

更具体地说,威胁情报有三个关键特征,使其有别于原始威胁信息: 

  • 针对特定组织:威胁情报不仅仅是关于假设威胁和攻击的一般信息。相反,它侧重于组织的独特情况:组织的攻击面中的特定漏洞、这些漏洞引发的攻击以及它们暴露的资产。

  • 详细且情境化:威胁情报不仅涵盖组织面临的潜在威胁。它还涉及攻击背后的威胁参与者、他们使用的战术、技术和程序 (TTP) 以及可能表明网络攻击成功的入侵指标 (IoC)。 

  • 可付诸行动:威胁情报为信息安全团队提供了洞察分析,他们可以利用这些洞察分析来解决漏洞、确定威胁优先级、修复风险和改善整体安全状况

根据 IBM 的《数据泄露成本报告》数据泄露平均造成受害组织 444 万美元的损失。其中检测与事件升级成本占比最高,为 147 万美元。

威胁情报程序为安全专业人员提供信息,帮助他们更早地检测攻击,并彻底阻止某些攻击的发生。这些更快、更有效的响应可以降低检测成本,并显著限制成功入侵的影响。

Think 时事通讯

您的团队能否及时捕获下一个零日?

加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明

您的订阅将以英语提供。每份时事通讯都包含取消订阅链接。您可以在此处管理订阅或取消订阅。更多相关信息,请参阅我们的 IBM 隐私声明

https://www.ibm.com/cn-zh/privacy

威胁情报生命周期

威胁情报生命周期是安全团队生成和分享威胁情报的迭代、持续的过程。尽管组织之间的细节可能有所不同,但大多数威胁情报团队都遵循类似的六步过程。 

步骤 1:规划

安全分析师与组织利益相关者一起设定情报要求。利益相关者可以包括高管领导、部门主管、IT 和安全团队成员以及参与网络安全决策的任何其他人。 

情报需求本质上是威胁情报必须为各利益相关者解答的关切问题。例如,首席信息安全官 (CISO) 可能想知道某种出现在头条新闻中的新型勒索软件是否可能会影响组织。

步骤 2:威胁数据收集

安全团队收集原始威胁数据以满足情报要求,并回答利益相关者的问题。

例如,如果安全团队正在调查某个新型勒索软件,该团队可能会收集有关攻击背后的勒索软件团伙的信息。该团队还将研究他们过去攻击的组织类型,以及他们用来感染以前受害者的攻击媒介。

这些威胁数据可能获取自多种来源。一些最常见的来源包括:

威胁情报源

威胁情报信息源是实时威胁信息流。这个名称有时会产生误导:虽然一些信息源包含经过处理或分析的威胁情报,但另一些信息源却只包含原始威胁数据。(后者有时被称为“威胁数据信息源”。)

安全团队通常会订阅各种威胁情报服务提供的多个开源和商业订阅源。不同情报源所涵盖的内容各有侧重。

例如,组织可能会为以下每种目的设置单独的订阅源:

  • 跟踪常见攻击的 IoC

  • 汇总网络安全新闻

  • 提供新恶意软件的详细分析

  • 对社交媒体及暗网进行数据抓取,以获取有关新兴网络威胁的讨论信息。

信息共享社区

信息共享社区是指论坛、行业协会及其他协作平台构成的社群,分析师们在这里相互分享一手实战经验、深度洞察、威胁数据以及其他关键情报资源。 

在美国,许多关键基础设施部门,如医疗保健、金融服务和石油天然气行业,都运营着行业特定的信息共享与分析中心 (ISAC)。这些 ISAC 通过国家 ISAC 委员会 (NSI) 相互协调。

在国际上,开源 MISP 威胁共享情报平台支持围绕不同地点、行业和主题组织的多个信息共享社区。MISP 得到了 NATO 和欧盟的财政支持。

内部安全日志

来自内部安全解决方案和威胁检测系统的数据可以为实际和潜在的网络威胁提供有价值的洞察分析。内部安全日志的常见来源包括:

内部安全日志记录了组织面临的威胁和网络攻击,可以帮助发现以前未识别的内部或外部威胁的证据。

来自这些不同来源的信息通常会汇总在集中式仪表板(例如 SIEM 或专用的威胁情报平台)中以便于管理和自动处理。

步骤 3:处理

在此阶段,安全分析师对他们收集的原始数据进行汇总、标准化和关联,以便更轻松地进行分析。处理可能包括应用 MITRE ATT&CK 或其他威胁情报框架,对数据进行情境化分析、筛选出误报,以及对类似事件进行分组。

许多威胁情报工具通过使用人工智能 (AI) 和机器学习来关联来自多个来源的威胁信息并识别数据中的初始趋势或模式,从而自动执行此处理。一些威胁情报平台现在整合了生成式 AI 模型,这些模型可以帮助解释威胁数据并根据其分析生成行动步骤。

步骤 4:分析

分析是将原始威胁数据转化为真正威胁情报的关键。在此阶段,安全分析人员会提取满足情报要求所需的洞察分析并规划后续步骤。

例如,安全分析人员可能会发现与新型勒索软件有关的团伙已经将目标锁定在组织所在行业的其他企业。这一发现表明,这种勒索软件可能也会给组织带来问题。 

有了这些信息,该团队可以识别该团伙可能利用的组织 IT 基础设施中的漏洞,以及他们可以用来缓解这些漏洞的安全控制措施。

第 5 步:传播

安全团队与适当的利益相关者分享其洞察分析和建议。可以根据这些建议采取措施,例如针对新发现的威胁指标制定新的 SIEM 检测规则,或者更新防火墙以阻止可疑 IP 地址和域名。

许多威胁情报工具与 SOAR、XDR 和漏洞管理系统等安全工具集成并共享数据。这些工具可以利用威胁情报来自动生成活跃攻击警报、根据威胁优先级分配风险评分,以及触发其他响应操作。

第 6 步:反馈

在此阶段,利益相关者和分析人员反思最新的威胁情报周期,以确定要求是否得到满足。出现的任何新问题或发现的新情报缺口都将为下一轮生命周期提供信息。

威胁情报类型

安全团队会根据其目标生成和使用不同类型的情报。威胁情报的类型包括:

战术威胁情报

战术威胁情报可帮助安全运营中心 (SOC) 预测未来的攻击,并更有效地检测正在进行的攻击。

此类威胁情报通常会识别常见的 IoC,例如与命令和控制服务器相关的 IP 地址、已知恶意软件攻击的文件哈希,或是网络钓鱼攻击的电子邮件主题行。

除了帮助事件响应团队拦截攻击之外,威胁搜寻团队还利用战术威胁情报来追踪高级持续威胁 (APT) 和其他活跃但隐藏的攻击者。
运营威胁情报

运营威胁情报比战术威胁情报范围更广、技术性更高。它侧重于了解威胁参与者的 TTP 和行为——他们使用的攻击媒介、利用的漏洞、针对的资产以及其他明确特征。

信息安全决策者利用运营威胁情报来识别可能会攻击其组织的威胁参与者,并确定可有效阻止攻击的安全控制措施和缓解策略。
战略威胁情报

战略威胁情报是关于全球威胁形势和组织在其中所处地位的高级情报。战略威胁情报使 IT 以外的决策者(如 CEO 和其他高管)能够了解其组织面临的网络威胁。

战略威胁情报通常侧重于地缘政治局势、特定行业的网络威胁趋势,或是组织的战略资产可能成为攻击目标的方式和原因等问题。利益相关者使用战略威胁情报,根据网络威胁形势和情况调整组织风险管理策略和投资方向,以便更好地应对网络威胁。