威胁情报(也称为“网络威胁情报”(CTI))是用于预防和对抗针对组织的网络安全威胁的详细、可操作的威胁信息。
威胁情报可帮助安全团队更加主动,使他们能够采取有效的数据驱动行动,在网络攻击发生之前予以防止。它还可以帮助组织更快地检测和响应正在进行的攻击。
安全分析师通过从多个来源收集原始威胁信息和安全相关信息,然后关联和分析数据以发现趋势、模式和关系,从而深入了解实际或潜在威胁,从而创建威胁情报。由此产生的情报是
- 特定于组织的,不关注一般性问题(例如,常见恶意软件系列的列表),而是关注组织攻击面中的特定漏洞、它们可促成的攻击以及它们暴露的资产。
- 详细且与上下文相关的,不仅涵盖针对公司的威胁,还涵盖可能实施攻击的威胁参与者、这些威胁参与者使用的策略、技术和程序 (TTP) 以及可能表征特定网络攻击的入侵指标 (IoC)。
- 可操作的,提供安全团队可用于处理漏洞、区分优先度并补救威胁,甚至评估现有或新网络安全工具的信息。
根据 IBM 的 2022 年数据泄露成本报告,数据泄露平均给受害者造成 435 万美元的损失;检测和升级成本占该其中的最大部分,为 144 万美元。威胁情报可以为安全团队提供所需的信息,使他们能够更快地发现攻击,从而降低检测成本并限制成功入侵的影响。
威胁情报生命周期是一个迭代的、持续的过程,安全团队通过该过程生成、传播和不断改进其威胁情报。尽管各个组织的具体细节可能有所不同,但大多数组织都遵循相同的六步流程的某个版本。
步骤 1:规划
安全分析师与组织利益相关者(执行领导、部门主管、IT 和安全团队成员以及其他参与网络安全决策的人员)合作制定情报要求。这些通常包括利益相关者希望或需要回答的网络安全问题。例如,CISO 可能想知道一种新的、引起关注的勒索软件是否会对组织造成影响。
步骤 2:威胁数据收集
安全团队收集任何原始威胁数据,这些数据可以给出(或有助于得出)利益相关者正在寻找的答案。回到上面的例子,如果一个安全团队正在调查一种新的勒索软件,该团队可能会收集有关攻击背后的勒索软件团伙的信息、他们过去攻击的组织类型以及他们用来感染以前受害者的攻击媒介。
这些威胁数据可能获取自多种来源,包括:
威胁情报信息源 - 实时威胁信息流。这个名称有时会产生误导:虽然一些信息源包含经过处理或分析的威胁情报,但另一些信息源却只包含原始威胁数据。(后者有时被称为“威胁数据信息源”。)
安全团队通常会订阅多个开源和商业信息源。例如,不同的信息源可能
- 跟踪常见攻击的 IoC、
- 汇总网络安全新闻、
- 对恶意软件类型进行详细分析
- 并抓取社交媒体和暗网,以获取围绕新出现的网络威胁的对话。
所有这些信息源都有助于加深对威胁的了解。
信息共享社区—论坛、专业协会和其他社区中,来自世界各地的分析师在这里分享第一手经验、见解和自己的威胁数据。
在美国,许多关键基础设施行业,例如医疗保健、金融服务以及石油和天然气行业,都运营有行业特定的信息共享和分析中心 (ISAC)。这些 ISAC 通过国家 ISAC 委员会 (NSI)(ibm.com 外部链接)相互协调。
在国际上,开源 MISP 威胁共享情报平台(ibm.com 外部链接)支持围绕不同地点、行业和主题组织的多个信息共享社区。MISP 得到了 NATO 和欧盟的财政支持。
内部安全日志 - 来自安全和合规系统的内部安全数据,如
- SIEM(安全信息与响应)
- SOAR(安全编排、自动化和响应)
- EDR(端点检测和响应)
- XDR(扩展检测和响应)
- 攻击面管理 (ASM) 系统
这些数据记录了组织面临的威胁和网络攻击,可以帮助发现以前未识别的内部或外部威胁的证据。
来自这些不同来源的信息通常会汇总在集中式仪表板(例如 SIEM 或威胁情报平台)中以便于管理。
步骤 3:处理
在此阶段,安全分析师对他们收集的原始数据进行汇总、标准化和关联,以便更轻松地进行分析。这可能包括过滤掉误报或将威胁情报框架(例如 MITRE ATT&CK)应用于与先前安全事件相关的数据。
许多威胁情报工具使用人工智能 (AI) 和机器学习来关联来自多个源的威胁信息并识别数据中的初始趋势或模式,从而自动执行此处理。
步骤 4:分析
分析是将原始威胁数据转化为真正威胁情报的关键。在此阶段,安全分析师测试并验证趋势、模式和其他见解,以便用于满足利益相关者的安全要求并提出建议。
例如,安全分析师可能会发现,与新的勒索软件病毒有关的团伙已经开始针对该组织所在行业中的其他企业。然后团队将识别该团伙可能会利用的组织 IT 基础架构中的特定漏洞以及可能缓解或消除这些漏洞的安全控制措施或补丁。
第 5 步:传播
安全团队与适当的利益相关者分享其见解和建议。可以根据这些建议采取行动,例如建立新的 SIEM 检测规则以瞄准新识别的 IoC,或更新防火墙黑名单,阻止来自新识别的可疑 IP 地址的流量。
许多威胁情报工具与 SOAR 或 XDR 等安全工具集成并共享数据,以自动生成主动攻击警报、针对威胁优先度给出风险评分或触发其他操作。
第 6 步:反馈
在此阶段,利益相关者和分析人员反思最新的威胁情报周期,以确定要求是否得到满足。出现的任何新问题或发现的新情报差距都将为下一轮生命周期提供信息。
威胁情报生命周期会根据所涉及的利益相关者、设置的要求以及生命周期中给定实例的总体目标,生成不同类型的情报。威胁情报分为三大类:
战术威胁情报被安全运营中心 (SOC) 用于检测和响应正在进行的网络攻击。它通常关注常见的 IoC - 例如与命令和控制服务器相关的 IP 地址、与已知恶意软件和勒索软件攻击相关的文件哈希或与网络钓鱼攻击相关的电子邮件主题行。
除了帮助事件响应团队筛选误报和拦截真正的攻击之外,战术威胁情报还被威胁搜寻团队用来追踪高级持续性威胁 (APT) 和其他隐藏的活跃攻击者。
运营威胁情报可帮助组织预测和防止未来的攻击。它有时被称为“技术威胁情报”,因为它详细描述了已知威胁参与者的 TTP 和行为,例如,他们使用的攻击载体、他们利用的漏洞和针对的资产。
CISO、CIO 和其他信息安全决策者使用运营威胁情报来识别可能攻击其组织的威胁参与者,并通过安全控制措施和其他专门旨在阻止其攻击的行动进行响应。
战略威胁情报是关于全球威胁形势和组织在其中所处地位的高级情报。战略威胁情报使 IT 以外的决策者(如 CEO 和其他高管)能够了解其组织面临的网络威胁。
战略威胁情报通常侧重于地缘政治局势、特定行业的网络威胁趋势,或组织的某些战略资产可能成为攻击目标的方式或原因等问题。利益相关者使用战略威胁情报来使更广泛的组织风险管理策略和投资与网络威胁形势保持一致。