什么是威胁情报？

什么是网络威胁情报？威胁情报也被称为网络安全情报，是有关针对企业网络、设备、应用程序和数据的犯罪活动的基于证据的信息。它能让企业更好地了解过去、现在和未来的网络危险。它包括机制、背景、影响、指标和以行动为导向的建议，涉及对信息资产的新出现或现有危害。

威胁情报信息可以指导企业确定哪些网络资产面临最大的攻击风险，以及攻击会对哪些方面造成最严重的影响。它为企业提供了所需的知识，使其了解需要保护哪些信息资产、保护这些资产的最佳手段以及最合适的缓解工具。威胁情报可提供准确、相关、可操作、及时和知情决策所需的背景信息。

作为一个概念，威胁情报很容易理解。然而，要收集所需信息并对其进行分析，则要困难得多。有可能危及或削弱企业信息技术的威胁数量庞大，令人防不胜防。

威胁情报收集的一些信息包括：你的漏洞是什么、谁在攻击你、他们的动机是什么、他们的能力是什么、他们会对你的信息资产造成什么损害，以及你应该注意哪些入侵迹象。

OpenText™ ArcSight™ 情报为您提供有关基础设施、财务和声誉所面临的最大威胁的信息。有了这些信息，您就可以建立防御机制，制定有效的风险缓解措施。

威胁情报为何重要

威胁情报工具从多个来源读取有关现有和新出现的威胁以及威胁行为者的原始数据。对数据进行分析和过滤后，就能生成可供自动安全解决方案使用的情报信息和报告。为什么这很重要？

• 获取组织所需的信息，以保护自身免受威胁和攻击。
• 随时了解坏人、各种漏洞、攻击方法、零日漏洞利用和高级持续性威胁带来的风险。
• 以结构化的方式处理跨越众多参与者和非连接系统的大量内部和外部威胁数据。
• 避免误报。
• 最大限度地减少数据泄露及其带来的财务、声誉和合规成本。
• 掌握识别最有可能发挥作用的安全工具所需的知识。
• 网络安全团队和分析人员可以对未来的威胁保持前瞻性，同时避免处理大量未经处理、未分优先级的原始数据所带来的负担。
• 让领导者、用户和利益相关者了解最新的威胁以及这些威胁可能对组织造成的影响。
• 及时提供决策者可以理解的背景信息。

威胁情报对于网络连接到全球网络的任何人来说都至关重要，而如今几乎每个组织都是如此。防火墙和其他安全系统固然重要，但它们并不能取代企业随时了解危及其信息系统的威胁的需要。当今网络攻击的多样性、复杂性和可扩展性使得威胁情报变得至关重要。

---

威胁情报生命周期

威胁情报不是一个由清单驱动的端到端流程。它是一个持续、循环和迭代的过程。组织永远不可能在某一时刻识别并消除所有潜在威胁。

威胁情报生命周期是对威胁环境不断变化的认识。避免一次攻击或危机并不意味着工作已经完成。您必须立即考虑、预测和准备下一次攻击或危机。新的差距和问题会不断出现，这就需要新的情报需求。

威胁情报生命周期包括以下步骤。

• 规划- 确定数据收集的要求。提出具体的问题，这些问题将引导您朝着正确的方向前进，并旨在生成可操作的信息。确定谁是威胁情报的最终消费者。
• 收集- 从可靠来源收集原始威胁数据。可信来源包括系统审计跟踪、以往事件、内部风险报告、外部技术来源和更广泛的互联网。
• 处理- 整理原始数据，为分析做好准备。放置元数据标签，以便更轻松地消除冗余信息、误报和误报。SIEM可以促进这种组织。它们使用相关规则为不同的用例组织数据。
• 分析--分析阶段是威胁情报有别于基本信息收集和传播的地方，因为在这一阶段，你要对数据进行分析。对处理过的信息应用结构化分析技术，并量化威胁。这将产生威胁情报馈送，供工具和分析人员扫描，以确定入侵指标。入侵指标包括可疑的 IP 地址、URL、电子邮件、电子邮件附件、注册表键值和哈希值。
• 传播--威胁情报要在正确的时间传递给正确的人，才能发挥作用。Share ，利用预定义的内部和外部沟通渠道与相关利益攸关方进行分析。以目标受众更容易理解的格式传播信息。这包括从威胁列表到同行评审报告。在大型组织中，威胁检测和缓解是涉及多个团队的集体工作。让每个人都参与进来，以发现新的见解、解决方案和机会。
• 集成- 将可操作的威胁情报集成到工作流程、事件响应计划和票务系统中。
• 教训- 分析情报，总结长期教训和更广泛的影响。对政策、程序、流程、基础设施和配置进行适当修改。
• 反馈- 审查行动并确认威胁是否已被阻止或遏制。

---

网络安全威胁和威胁情报的类型

网络安全威胁和威胁情报可根据业务要求、情报来源和目标受众进行分类。在这方面，网络安全威胁和威胁情报有三种类型。

战略威胁情报

这些是广泛或长期的趋势或问题。审查战略威胁通常是高层非技术受众（如首席执行官）的专利。战略威胁情报可提供有关威胁能力和意图的鸟瞰图，以便做出明智决策和及时发出警告。

战略威胁情报的来源包括新闻媒体、专题专家、非政府组织政策文件、安全白皮书和研究报告。

战术威胁情报

战术威胁情报通过日常的情报事件和行动来处理危害指标，从而为威胁行动者的程序、技术和战术提供结构。这种情报面向技术性更强的受众，如安全专业人员、系统架构师和网络管理员。

战术威胁情报能让企业更深入地了解如何受到攻击，以及针对这些攻击的最佳防御措施。安全供应商和企业网络安全顾问的报告通常是战术威胁情报的主要来源。

行动威胁情报

行动威胁情报也被称为技术威胁情报。它非常专业，技术性很强。它涉及特定的攻击、恶意软件、工具或活动。

业务威胁情报的形式可以是取证威胁情报报告、威胁数据馈送或截获的威胁组织通信。它能让事件响应团队深入了解特定攻击的时间、性质和意图。

---

什么是威胁检测？

威胁检测有时与威胁情报交替使用，但两者的含义并不相同。威胁检测是对数据的被动监控，以发现潜在的安全问题。

其重点是在安全漏洞发生之前、期间或之后发现和识别威胁。威胁可能是恶意软件样本中的一个字符串、不寻常部分的网络连接、网络流量的意外激增或下降，或者是保存到临时目录中的可执行文件。

数据泄露检测工具分析用户、数据、应用程序和网络行为，以发现异常活动。入侵检测系统就是威胁检测工具的一个例子。

---

威胁情报和威胁检测如何协同工作

威胁检测系统通常使用来自H-ISAC 等各种社区的威胁情报来检测网络流量。它们部署自定义警报和事件通知。威胁检测工具可监控不同来源的日志，并针对不同环境进行定制。

因此，一旦检测到威胁，就会发出警报。通常情况下，人工会介入，查看威胁，确定发生了什么，并采取适当的措施。

---

用正确的工具获取正确的威胁情报

当今的组织面临着攻击者的威胁，他们可能有数百万种方法来获得未经授权的访问并进行破坏。此外，威胁的规模、复杂程度和复杂性也在不断增长。这就意味着，最好假设攻击者会突破你和你的组织的防线。建立适当的物理和逻辑控制措施可以大大降低攻击成功的几率。

威胁情报对于及时有效地检测和应对威胁不可或缺，是了解和防范潜在网络安全威胁的必要因素。您的团队和组织对潜在威胁的了解越深入，就越有能力制定功能性应对措施并对其进行优先排序，以及快速检测威胁。

即使对小型企业来说，威胁情报也是一项艰巨而耗时的工作。幸运的是，市场上有许多威胁情报工具可以提供帮助。但并非所有工具都是一样的。作为网络安全领域公认的全球领导者，OpenText 可提供企业所需的正确工具，帮助企业快速生成有意义、可操作的动态威胁情报。