网络威胁情报（Cyber Threat Intelligence，简称CTI）的速度、精确性、及时性和相关性对于保护数字基础设施和对抗新兴网络安全威胁至关重要。在我看来，CTI是一门艺术：它必须是可操作的、可靠的和及时的。

网络威胁情报中最关键的组成部分之一是妥协指标（Indicators of Compromise，简称IOCs）。IOCs是攻击者在之前网络攻击中留下的数据线索或指纹（如异常IP地址和网络域名、意外的网络流量、文件系统中可疑的变更），为安全专业人员检测和追踪潜在的入侵或恶意活动提供了极其宝贵的线索。尽管IOCs在理论上有诸多好处，但大多数网络安全专业人员在实际应用中仍然举步维艰。

安全专业人员面临的常见挑战

出于以下几个原因，管理常规IOCs对安全专业人员和安全运营中心（SOCs）来说都极具挑战性：

• 信息噪音过大： 在安全团队已经被大量告警淹没的情况下，跟踪海量IOCs极其困难。安全工具在将IOCs与内部流量进行比对时也面临极大的资源消耗压力。

• 上下文信息有限： 大量IOCs在共享时几乎没有或完全缺乏上下文信息，这使得网络安全专业人员难以分析其重要性或进行优先级排序。

• 无法针对具体威胁： 常规IOCs并未针对特定行业或地域进行定制。因此，安全团队会错过对组织基础设施、行业、业务用例或合规要求至关重要的关键威胁。

• 运营价值有限： 大多数IOCs都是在攻击生命周期的后期（即命令与控制阶段）被检测和共享。当威胁情报抵达安全团队时，威胁行为者早已改变其作案手法。

为什么自定义IOCs比常规IOCs更有意义

自定义IOCs主要源于威胁情报、事件响应调查或安全评估，它们针对组织的具体风险状况。通常可分为四大类：

1. 基于网络的IOCs，如异常IP地址或端口扫描；
2. 基于主机的IOCs，包括可疑进程或文件修改；
3. 基于文件的IOCs，如恶意文件哈希或异常文件路径；
4. 行为类IOCs，涵盖异常的用户或系统行为。

安全平台和安全服务提供商通常会从各种威胁情报源订阅常规IOCs。然而，基于上述原因，这些IOCs提供的运营价值相当有限。

相反，如果安全平台或安全运营中心允许安全专业人员在威胁检测和狩猎工作流中纳入自定义IOCs，将更加合理。这种方法有诸多好处：

1. 增强威胁狩猎能力

自定义IOCs数量较少，意味着噪音和误报更低、资源利用更高效、上下文感知更强、检测率更佳。通过专注于最重要的IOCs，安全团队可以显著提升威胁检测率并缩短威胁响应时间。

2. 精准威胁情报

安全团队可以围绕独特的运营需求和新兴威胁定制威胁狩猎方法，确保其威胁情报相关、具备上下文且及时。这使他们能够更快地适应新兴威胁，识别可能未被常规、现成威胁情报源覆盖的潜在风险。

3. 加强供应链安全

通过引入与特定第三方相关的自定义IOCs，安全团队可以更好地管理与外部供应商、供货商和渠道合作伙伴相关的漏洞。他们可以有效地监控和识别供应链中的风险，从而提升整体供应链安全态势。

4. 更高程度地契合行业或地域需求

导入自定义IOC列表（如来自特定地区的恶意IP）、行业特定情报源以及内部调查发现，为组织环境、地理分布或威胁景观中的独特威胁提供更具针对性的解决方案。

5. 为关键基础设施和资产提供更好的保护

随着制造商和其他关键基础设施组织拥抱数字化并采用物联网和其他智能技术，他们的攻击面显著扩大。使用自定义IOCs，安全团队可以部署更有针对性的解决方案，更好地检测和解读关键基础设施资产或设备中的信号或红色预警。

6. 改进对监管和合规要求的遵守

自定义IOCs为满足特定的监管或合规要求提供了机制。例如，能够检测未经授权的登录或数据泄露活动的自定义IOCs，可以帮助满足PCI-DSS、GDPR、NIST等框架的威胁检测要求。这种方法不仅能提升安全性，还能提供更好的分析和报告，使组织能够在审计中证明其合规性。

总之，攻击者的技术、战术和程序（TTPs）在不断演变。常规IOCs在缓解针对特定组织的威胁方面效果有限。将定制威胁情报内部化并作为整体安全系统的一部分实施，已不再是一种奢侈，而是一种必然。