威胁情报

定义

• 威胁情报旨在面临威胁的资产主体提供全面的、准确的、与其相关的、并且能够执行和决策的知识和信息  

威胁情报有哪些

威胁情报有很多种，他们分别为战略威胁情报、运营威胁情报、战术威胁情报、技术威胁情报。

1. 战略情报：提供全局视角，帮助高层管理者理解威胁环境和业务影响。

2. 运营威胁情报：支持实时响应和防御，提供具体的威胁活动信息。

3. 战术威胁情报：描述攻击者的战术、技术和程序（TTPs），帮助安全团队识别攻击模式。

4. 技术威胁情报：与具体技术细节相关的信息，例如恶意软件样本和命令控制服务器地址。当前，业内更广泛应用的威胁情报主要还是在技术威胁情报层面。

目标和需求

1. 决策者需要明确所需要的威胁情报类型，以及使用威胁情报所期望达到的目标，而在实际中，这一步往往被忽略。

2. 决策者通常可以明确需要保护的资产和业务，评估其遭受破坏和损失时的潜在影响，明确其优先级顺序，最终确认所需要的威胁情报类型.

收集

威胁情报收集从来源上包含如下渠道：

分析

分析环节是由人结合相关分析工具和方法提取多种维度数据中涵盖的信息，并形成准确而有意义的知识，并用于后续步骤的过程。

常用的威胁情报分析方法和模型包括Lockheed Martin的Cyber Kill Chain，钻石分析法，MITRE ATT&CK。

核心操作：

• IoC 去噪与可信度评估（Scoring）

• 跨事件关联与溯源

• 趋势分析与预测性判断

作用和价值

提高应对威胁的效率

威胁情报中的相关性和上下文信息能让企业安全人员明确哪些威胁数据是与企业信息资产和业务安全息息相关的，威胁的背景，以及可以根据威胁的影响程度选择响应处理的优先级。

脆弱性管理和风险控制

威胁情报可以帮助企业安全人员明确其企业的在线信息资产和安全状况，根据企业自身资产的重要程度和影响面，进行相关的漏洞修补和风险管理。

了解威胁环境和用于决策

威胁情报可以帮助企业安全人员了解其所在行业的威胁环境，有哪些攻击者，攻击者使用的战术技术等。威胁情报帮助其了解企业自身正在遭受或未来面临的威胁，并为高层决策提供建议。

应用场景

以下列举了威胁情报的一些主要的应用场景：

（1）与企业已有的安全架构、产品、流程相整合，如SIEM、SOC、EDR等。

（2） 应用到企业内部的事件应急响应中，如APT攻击，勒索等。

（3）应用到企业的业务安全中，如账号风控，防欺诈，信息泄露等。

（4）应用到企业的网络资产管理，脆弱性管理和风险控制中。

总结