【威胁情报】每个安全员必读，什么是威胁情报，为什么它很重要？

点击上方蓝字“Ots安全”一起玩耍

介绍

近年来，网络威胁情报已成为成熟网络安全战略的重要支撑支柱。如果应用得当，威胁情报可以帮助安全团队在攻击前、攻击中和攻击后抵御日益复杂的威胁环境。通过研究对手并了解他们的战略和目标，组织可以构建更有效、更精细和更强大的网络防御。

正如本系列中将概述的，挑战在于了解如何使用威胁情报来帮助各种规模的组织加强其安全态势并加速安全决策过程。通过对网络威胁做出更智能、更有针对性的响应，组织可以更有效地分配（通常是稀缺的）安全资源，主动领先于未来的攻击，并提高有意闯入的网络犯罪分子的进入壁垒。

当然，对于整个网络安全而言，没有一刀切的方法，更不用说威胁情报了。但是，威胁情报可以开始提供对导致攻击的因素的更高水平的理解，在攻击发生时减轻其影响，并主动采取措施保护组织及其基础设施。同样，本文也不打算 100% 全面地讨论威胁情报主题。相反，它提供信息和指南以帮助构建程序或改进其现有设置。它首先解决威胁情报中的定义问题，然后解释其用法和应用，最后提供有关实施和部署的建议。

威胁情报广义上是关于现有或潜在威胁的丰富或相关数据点的集合，可以帮助组织提高其安全性。一方面，这些可以是简单的技术指标，另一方面可以是深入了解对手的概况——但关键是它们具有情境性和可操作性。使用如此广泛的定义意味着各行各业的供应商都可以说他们提供“威胁情报”。

有一种观点认为，这个定义过于宽泛，会在市场上造成混乱。因此，对威胁情报不是什么提供一些解释是有帮助的。数据、信息和智能经常互换使用，这在不同解决方案之间进行选择时会变得混乱。

'数据'

这是原材料，通常是大量提取的、非结构化的，需要经过处理才能称为信息，然后才是智能。IOC 就是一个很好的例子：IP 地址或域名列表通常是大量的，并且可以被 SIEM 解决方案摄取以试图理解这一切。然而，我们不能称其为智能，因为数据不能立即采取行动，也没有上下文。

'信息'

信息被有选择地提取，并且在组织起来后，可以为用户提供比其各部分总和更多的细节。如果数据点只是事实的陈述，那么信息需要更结构化的分组，允许其用户对趋势进行分析或提出问题。尽管如此，它仍然不能立即采取行动，即使它有上下文，并且不能像威胁情报那样被询问。

什么是威胁情报

威胁情报是指从可信、可靠的来源收集和评估威胁数据或威胁信息，对其进行处理和丰富，然后以一种可以被视为对最终用户采取行动的方式进行传播。例如，来自地下论坛的源代码或 JSON 文件需要重新格式化，或者相关文章需要存档和索引，以使这些数据和信息可用作情报。情报意味着最终用户可以使用准确、相关、情境化的信息识别网络安全领域中的威胁和机会。通过消除对数以千计的数据警报进行分类的需要，安全团队可以最大限度地利用自己有限的资源并加快决策过程。

由于他们的角色非常缺乏时间，这就是外部威胁情报提供者真正发挥作用的地方。使用自动或手动关联，内部团队能够联系其他组织，帮助他们确定警报和指标的优先级。以下流程概述了以此方式使用的威胁情报。

搜集

收集数据应依赖广泛的可靠来源，以实现高质量的威胁情报。这不应仅仅依赖于 SIEM 收集的日志数据——许多组织使用他们的安全事件和事件管理器作为收集源——因为良好的情报依赖于广泛的不同来源以获得更广泛的覆盖范围。这些范围比 IP 地址、域和文件哈希值要广泛得多。泄露的机密信息、泄露的凭据或信用卡号怎么办？这些必然依赖于开放、深层和黑暗网络上的各种来源，以及威胁情报分析师可以访问的封闭和私人论坛。

处理和可操作的交付

收集后的第二阶段是整理和丰富数据。在 Blueliv，这依赖于自动威胁分类和评分、OSINT 和 HUMINT 以及各种其他威胁识别和丰富方法的组合。这是点连接在一起的地方。我们可以从一方面的僵尸网络样本中提取有用的元数据，另一方面可以从暗网论坛参与者的个人资料中提取有用的元数据，但将它们放在一起就是情报是否真的是——例如，某个参与者正在宣传针对某个部门的某些恶意软件。情报是有针对性的和情境化的，允许安全团队根据危急程度识别事件并确定其优先级。

整合、可视化和传播

根据最终用户此时对数据的需求，智能可以开始投入生产。

机器可读的数据可以通过灵活的 API 和插件直接分发到 SIEM 中。威胁列表可用于创建防火墙规则、事件响应平台的签名或要阻止的域列表。

但是，请注意这里的数据馈送和威胁情报之间的区别。数据馈送是可以与内部安全系统相关联的指标列表。如果存在匹配，则可以发生动作。当我们可以简单地收集互联网上的所有威胁，将它们输入机器进行关联，然后看看我们需要做什么时，很容易问为什么我们需要可操作的、相关的威胁情报。

事实是，除非使用定制的目标来管理 SIEM 摄取和关联的数据，否则这些提要通常会给安全团队带来沉重负担。Blueliv 的MRTI 提要例如，为客户提供与犯罪服务器、机器人 IP、恶意软件哈希、蜜罐攻击 IP、黑客活动和 TOR IP 相关的超新鲜数据。但是，当插入到客户的现有设置中时，需要它们的聚合和管理。通过摄取大量非结构化数据，可以检测到更多潜在的安全事件，但必须手动筛选这些事件以避免误报。如果处理得当，来自可靠来源的数据馈送当然可以帮助组织提高其安全性。但是当处理并与其他上下文信息结合时，数据会变成非常有价值的威胁情报。需要注意的是，情报来自与触发警报的 IOC 相关的上下文——这是有针对性的攻击吗？全球分布的运动？不再是威胁的旧域？

在更人性化的层面上，可以与分析师团队共享深入报告，或通过动态仪表板交付。将数据转换为最终格式是关键，这使得需要它的人或机器可以轻松使用它。DevOps 团队对 C 级管理有非常不同的需求。为了使情报可用于其目的，情报应与不同级别和格式相关。在这里，我们可以将威胁情报划分为不同的类别。

威胁情报的类别

威胁情报可以大致分为三类：战术、操作和战略。本节将区分三者并评估存在重叠的地方。在组织层面，重要的是确定在正确的时间以正确的方式将哪种类型的威胁情报交付给正确的决策者。

战术

战术情报是技术性的，而且是相对短期的。这可能就像寻找 IOC 一样简单，但这并不是低估它的重要性——重点是将有意义的信息立即提供给需要它的人。换句话说，战术威胁情报是来自已知攻击的信息，是网络犯罪分子直接行动的结果，有可能立即影响网络安全决策。它支持日常操作和事件，并且在分析方面受到限制。

实时解决方案是此类情报的常见提供者——提供文件哈希、恶意域、电子邮件主题、链接和附件、注册表项、文件名、DLL 等 IOC，并且可以通过 MRTI 源或与安全产品的简单集成提供. 这种即时威胁情报相对容易收集、处理和传播。

但是，在战术威胁情报方面存在一些缺点。首先，它本质上是相对短期的，因为某些 IOC（例如恶意域）会很快过时。此外，不断变化的威胁形势要求来源必须及时且高质量——否则，此类情报往往会产生误报。

操作

与战术威胁情报相比，作战威胁情报提供了更高级别的上下文。尽管仍然关注威胁行为者活动的近期后果，但它提供了对他们的动机、能力和目标的洞察。在保持技术重点的同时，它帮助团队评估与事件和调查相关的特定事件，帮助指导和支持事件响应。考虑到这一点，TTP 或战术、技术和程序（以及如何挫败它们）是作战威胁情报的关键组成部分。这种由人工分析增强的情报比战术情报持续时间更长——威胁行为者可以改变他们的工具（恶意软件系列、僵尸网络基础设施等），但他们更难改变他们使用它们的方式。

战略

战略情报告知其用户有关高级网络风险的信息，这些风险往往与外交政策、全球事件和互联网上的运动有关，可能会影响组织的网络安全。这种情境情报可帮助决策者将预算分配给最能保护其企业的投资，使其与战略业务优先事项保持一致，并就其组织和部门可能如何受到其环境（数字和其他方面）的影响进行长期计算。

它是最复杂的智能生成形式，并且是人力资源密集型的。它要求对网络威胁格局有细致入微的理解，并在整合之前评估不同的来源，为决策者形成长期问题的整体图景。战略威胁情报报告确定总体趋势和模式，以及运营和战术情报。一个易于阅读的示例是我们对凭据盗窃生态系统的报告，可在此处下载。

以上三点总结：

何时使用威胁情报

到了这个阶段，应该清楚威胁情报是多用途的，可以以多种不同的实际方式使用。在战术层面上，了解他们将要面对的对手的类型使决策者能够分配资源并采取适当的防御措施。在运营和战略层面，高管可以根据情报做出长期业务决策，并根据回报和投资回报率承担必要的风险。在组织内创建强大的网络安全文化至关重要，从管理团队扩展到新员工，他们能够在攻击之前、之中和之后识别并实施威胁情报的价值。

攻击前

如上所述，一个常见的应用是在战术方面，其中技术指标用于阻止已知的不良 IP、URL、哈希等。通过将战术威胁情报直接集成到入侵检测系统、防火墙和 SIEM 中，组织可以检测新出现的和已知的在攻击发生之前威胁并自动防御它们。

所有类别的威胁情报都可以主动使用，也可以被动使用。利用有关新出现和已知威胁的上下文信息，这是一个领先攻击者一步的机会。例如，有关用于攻击保险行业组织的特定恶意软件家族和基础设施的情报使尚未受到攻击的保险公司能够采取适当的防御措施。同样，威胁参与者分析可能会指出特定部门或组织面临风险，让安全团队有机会在为时已晚之前保护自己。如果您知道攻击中常用的漏洞利用工具包，您将优先修补主动利用的漏洞。

总之，安全团队准备得越好，其安全态势就越强。威胁情报可帮助团队确定其活动的优先级，以应对最有可能发生的威胁并保护最有可能成为目标的资产。

攻击时

企业中最常用的短语之一是“加速”，原因很清楚。首先，威胁情报可以加快分类过程。智能驱动的事件检测——当输入到 SIEM 和端点解决方案时——大大加快了检测和响应事件所需的时间。面对太多的警报、太多的误报和缺乏背景，可能很难确定要关注哪些事件（之后，花费太多时间调查它们）。将这些数据情境化——将其转化为情报，如上所述——允许安全团队更有效地确定优先级并简化他们的工作流程。例如，使用来自威胁上下文之类的合格信息的自动关联有助于编排系统确定相关 IOC 的优先级。

此外，当攻击已经开始时，威胁情报可用于称为威胁搜寻的技术。这意味着要寻找事件正在发生的迹象，而不是等待攻击已经发生的警报。运营情报允许安全团队寻找微妙的证据，包括文件删除、运行进程的更改、注册表设置和其他存在迹象。这种情报还允许安全团队缩小他们正在寻找的范围，同时更好地了解攻击者的动机。换句话说，情报可以加速检测、优先排序和狩猎活动。

攻击后

在最基本的层面上，威胁情报可以为攻击发生后的取证、调查和报告提供所需的详细信息。它也让我们回到了循环的开始——并允许我们在组织内执行持续的网络卫生以防止未来的攻击。坏人一直在测试利用组织基础设施的新方法，因此在安全协议方面保持静态是一种万无一失的方法。

当调查开始时，威胁背景和归因会加快进程。事件响应团队可以非常快速地全面了解网络犯罪分子的 TTP，保护目标资产，并全面评估整个组织的事件范围。此外，情报“点点滴滴”——警报最初可能看起来断开连接，这可能表明攻击比最初预期的要先进得多。例如，您的 SIEM 检测到恶意 IP，但您的情境化情报告诉您，该 IP 是特定威胁参与者活动的一部分，该活动以前一直以银行为目标，但现在已扩大其范围。还有其他与此参与者相关的 IOC，因此您将这些输入到您的系统中，以防止未来的渗透尝试。

威胁情报也有助于红队活动。红队是具有战术经验的指定团队，他们不断挑战公司的安全协议。这个想法是在坏人之前发现弱点。为了有效，他们必须相对独立地运作，挑战您的安全团队的假设，并在不事先通知员工的情况下尝试各种攻击技术。这种定期但不定期的“意外”攻击可以最有效地暴露组织安全态势中的缺陷和弱点。一般来说，红队是一种非常有价值的方法，可以加强组织的安全条件，必须通过威胁情报来通知。

实时、动态威胁情报的好处

因此，很明显，高质量的威胁情报有助于加快威胁检测、确定优先级和事件响应能力。试图检测威胁就像大海捞针。对误报和收集的大量数据进行分类，再加上网络犯罪分子使用的越来越复杂的 TTP，意味着这个大海捞针并没有变得更小。威胁情报意味着您可以将稀缺的网络安全资源集中在战术、运营和战略层面最需要的地方。

实时威胁情报可以帮助您保持对环境的可见性，以便您的安全基础设施能够实时响应最新的威胁。这包括检测网络中已经存在的恶意活动，对其进行分析并帮助您的安全团队了解攻击者的目标。许多公司尚未看到将威胁情报添加到其网络安全基础设施中作为深度防御的关键层的价值。

部分原因是由于错误的观念，认为费用很大，不值得投资回报率。对于推行“一刀切”方法的供应商而言，情况可能确实如此——您要么购买，要么不购买。另一方面，通过模块提供的网络威胁情报的明显好处是它适用于按需付费模式。组织能够选择与其业务最相关的模块，并填补其网络安全基础设施中的空白。

本系列的其他文章将讨论威胁情报在特定行业的实际应用，从银行到保险，再到零售等。目前，我们基于 Blueliv 提供的威胁情报模块提供了一些通用用途。

数据的新鲜度和广度

我们能够提供超新鲜的信息，这通常非常重要。例如，很早地检测到被盗凭证（不超过他们被盗后几天）可以大大减少他们被盗的影响，因为网络犯罪分子将没有时间使用它们并实现他们的（财务）目标。由于我们的自动收集机制和联盟数量，我们还拥有市场上最广泛的威胁收集，将全球威胁数据从开放、封闭和私人来源转变为有针对性的情报。

可用性

Threat Compass的开发考虑到了最终用户。界面本身非常易于使用，更重要的是，它提供的信息可供组织内的所有级别访问。这意味着您不需要专家分析师来处理情报。但是，如果您想深入挖掘，Threat Compass提供了重要的细节来帮助安全分析师进行调查。例如，法医调查和事件后报告需要为各种利益相关者提供一定程度的详细信息。分析师想知道它是如何发生的，而CISO和管理层则希望确保它不会再次发生。威胁指南针可以提供两者。

协作是我们的核心

我们相信打击网络犯罪是一项协作努力，为了建立最有效的防御，组织必须尽可能公开地共享情报——网络安全专业人员与坏人作战的蜂巢比孤立自己要好得多。我们始终致力于建立新的合作伙伴关系、联盟并推动诸如威胁交换网络之类的举措，这是一个不断壮大的网络安全专业人士、学者和执法人员社区。它的主要功能是分享新闻、观点和国际奥委会，更有效地打破障碍。

模块化威胁情报

威胁上下文

威胁上下文为安全团队提供有关威胁参与者、活动、IOC、攻击模式、工具、签名和 CVE 的持续更新和直观的信息。超过 9000 万个项目的数据库提供图形化的相互关系，因此分析人员可以在攻击之前、期间和之后快速收集丰富的上下文信息。–威胁上下文模块

证书

查找有关泄露、被盗和出售的用户凭据的可操作情报。我们在开放、深层和黑暗的网络上实时定位它们，以及有关用于窃取信息的相关恶意软件的信息。Blueliv 的天坑、蜜罐、爬虫和传感器不断搜索您被盗的凭据，帮助消除您的威胁环境中的盲点。–凭证模块

信用卡

挖掘得足够深，你可以在网上找到各种信用卡数据。该模块可以显着减少信用卡盗窃和欺诈造成的损失。我们检索被盗信用卡数据并提供信息以帮助组织减轻损失。–信用卡模块

黑客主义

监控社交网络以及可能影响您的基础设施的开放和黑暗网络上的全球黑客行动主义活动。该模块使用先进的预警系统和主动地理定位器，生成有针对性的威胁情报，以抵御潜在的攻击媒介。–黑客主义模块

移动应用

恶意和非法应用程序隐藏在非官方市场的显眼位置，引诱您的客户离开，甚至窃取他们的数据。我们的模块专门检测声称隶属于您的组织或未经授权使用公司资产来保护您的品牌和声誉的应用程序。–流氓移动应用模块

社交媒体