什麼是Threat Intelligence ？

什麼是網路威脅情報？威脅情報也稱為網路安全情報，是針對組織網路、設備、應用程式和數據的犯罪活動的循證資訊。它使企業能夠更好地了解過去、當前和未來的網路危險。它包括機制、背景、影響、指標和關於資訊資產新出現或現有危害的面向行動的建議。

Threat 情報資訊可以引導企業確定哪些網路資產受到攻擊的風險最大，以及攻擊影響最嚴重的地方。它為企業提供了所需的知識，以了解要保護哪些資訊資產、保護這些資產的最佳方法以及最合適的緩解工具。 Threat 情報提供了準確、相關、可操作、及時和知情決策所需的背景。

作為一個概念，威脅情報很容易理解。然而，收集所需的資訊並對其進行分析要具有挑戰性得多。大量可能危及或削弱企業資訊技術的威脅可能會讓人感到不知所措。

收集的一些上下文威脅情報包括您的漏洞是什麼、誰在攻擊您、他們的動機是什麼、他們的能力是什麼、他們可能對您的資訊資產造成什麼損害，以及您應該注意哪些入侵指標。

OpenText™ ArcSight™ Intelligence為您提供有關對您的基礎架構、財務和聲譽最嚴重威脅的資訊。這樣，您就可以建立有效的防禦機制並設定風險緩解措施。

為什麼威脅情報很重要

Threat 情報工具從多個來源讀取有關現有和新興威脅以及威脅行為者的原始資料。對資料進行分析和過濾，以開發可供自動化安全解決方案使用的情報來源和報告。為什麼這很重要？

• 獲取組織保護自己免受威脅和攻擊所需的資訊。
• 及時瞭解不良行為者、各種漏洞、攻擊方法、零日漏洞利用和高級持續性威脅帶來的風險。
• 維護一種結構化的方式來處理跨越眾多參與者和未連接系統的大量內部和外部威脅數據。
• 避免誤報。
• 最大限度地減少數據洩露以及隨之而來的財務、聲譽和合規成本。
• 獲取識別最有可能起作用的安全工具所需的知識。
• 網路安全團隊和分析人員可以對未來的威脅保持積極主動，同時避免處理大量、未經處理、未確定優先順序的原始數據的負擔。
• 讓領導者、使用者和利益相關者瞭解最新威脅以及威脅可能對組織產生的影響。
• 提供決策者可以理解的及時上下文。

Threat 對於任何網路連接到萬維網的人來說，智慧都是至關重要的，而當今幾乎每個組織都是如此。防火牆和其他安全系統很重要，但它們並不能取代企業及時應對危及其資訊系統的威脅的需要。當今網路攻擊的多樣性、複雜性和可擴展性使得威脅情報變得至關重要。

---

威脅情報生命週期

Threat 情報不是由清單驅動的端到端流程。它是連續的、循環的、迭代的。組織永遠不會在某個時間點識別並消除所有潛在威脅。

威脅情報生命週期是對威脅環境不斷變化的性質的認識。避免一次攻擊或危機並不意味著工作已經完成。您必須立即考慮、預測併為下一個做好準備。新的差距和問題將繼續出現，需要新的情報要求。

威脅情報生命週期包括以下步驟。

• 規劃 – 定義數據收集的要求。提出具體問題，引導您朝著正確的方向前進，並旨在生成可操作的資訊。確定誰將成為威脅情報的最終消費者。
• 收集 – 從可靠來源收集原始威脅數據。這裡的可靠來源可能包括系統審計跟蹤、過去的事件、內部風險報告、技術外部來源和更廣泛的互聯網。
• 處理 – 組織原始數據以準備分析。放置元數據標記，以便更輕鬆地消除冗餘資訊、漏報和誤報。SIEM 可以促進該組織的發展。他們使用關聯規則來構建不同用例的數據。
• 分析 – 分析階段是威脅情報與基本資訊收集和傳播的區別，因為它是您理解數據的地方。將結構化分析技術應用於處理後的資訊並量化威脅。這將生成威脅情報源，工具和分析師會對其進行掃描以確定入侵指標。入侵指標包括可疑的IP位址、URL、電子郵件、電子郵件附件、註冊表項和哈希。
• 傳播—— Threat 當情報在正確的時間傳遞給正確的人時，它就會發揮作用。使用預先定義的內部和外部溝通管道與相關利害關係人分享分析結果。以目標受眾更容易理解的格式傳播訊息。其範圍可以從威脅清單到同儕審查的報告。在大型組織中，威脅偵測和緩解是涉及多個團隊的集體努力。讓每個人都了解情況，發現新的見解、解決方案和機會。
• 集成 - 將可操作的威脅情報集成到工作流、事件響應計劃和票證系統中。
• 經驗教訓 - 分析情報，瞭解長期經驗教訓和更廣泛的影響。對策略、過程、流程、基礎結構和配置進行適當的更改。
• 反饋 – 查看操作並確認威脅是否已被阻止或遏制。

---

網路安全威脅的類型和威脅情報

網路安全威脅和威脅情報可以根據業務需求、情報來源和目標受眾進行分類。在這方面，有三種類型的網路安全威脅和威脅情報。

戰略威脅情報

這些是廣泛或長期的趨勢或問題。對戰略威脅的審查通常是高級非技術受眾（如最高管理層）的專利。戰略威脅情報提供了威脅的能力和意圖的鳥瞰圖，從而可以做出明智的決策並及時發出警告。

戰略威脅情報的來源包括新聞媒體、主題專家、非政府組織政策檔、安全白皮書和研究報告。

戰術威脅情報

戰術威脅情報通過日常情報事件和操作處理入侵指標，為威脅參與者的程式、技術和戰術提供結構。它是面向技術性更強的受眾的智慧，例如安全專業人員、系統架構師和網路管理員。

戰術威脅情報使組織能夠更深入地了解他們如何受到攻擊，以及針對這些攻擊的最佳防禦措施。來自安全供應商和企業網路安全顧問的報告通常是戰術威脅情報的主要來源。

運營威脅情報

操作威脅情報也稱為技術威脅情報。它非常專業，技術含量很高。它處理特定的攻擊、惡意軟體、工具或活動。

操作威脅情報可以採用取證威脅情報報告、威脅數據源或截獲的威脅組通信的形式。它使事件回應團隊能夠深入瞭解特定攻擊的時間、性質和意圖。

---

什麼是威脅檢測？

Threat 偵測這個術語有時與威脅情報互換使用，但兩者的含義並不相同。 Threat 檢測是對數據的被動監控，以發現潛在的安全問題。

它專注於在安全漏洞之前、期間或之後發現和識別威脅。威脅可能是惡意軟體範例中的字串、異常部件上的網路連接、網路流量意外激增或下降，或者是保存到臨時目錄的可執行檔。

數據洩露檢測工具可分析使用者、數據、應用程式和網路行為的異常活動。入侵檢測系統是威脅檢測工具的一個例子。

---

威脅情報和威脅檢測如何協同工作

Threat 偵測系統通常使用來自H-ISAC等廣泛社區的威脅情報來檢查網路流量。他們部署自訂警報和事件通知。 Threat 檢測工具可監控不同來源的日誌並針對不同的環境進行客製化。

因此，當檢測到威脅時，會發出警報。通常，人類會進行干預，審查威脅，確定正在發生的事情，並採取適當的行動。

---

正確的工具，提供正確的威脅情報

當今的組織面臨攻擊者的風險，這些攻擊者可能有數百萬種方式來獲得未經授權的訪問並造成嚴重破壞。此外，威脅的規模、複雜性和複雜性也在不斷增長。這意味著，儘管你和你的組織盡了最大努力，但最好假設攻擊者會突破。建立適當的物理和邏輯控制對減少成功攻擊的機會大有説明。

Threat 情報對於及時有效的威脅偵測和回應是不可或缺的，是理解和防範潛在網路安全威脅的必要要素。您的團隊和組織對潛在威脅的了解越深入，您就越能更好地制定功能響應並確定其優先順序並快速檢測威脅。

Threat 即使對於小型企業來說，情報也是一項艱鉅且耗時的工作。幸運的是，市場上有許多威脅情報工具可以提供協助。但並非所有人都是天生平等的。被公認為網路安全領域的全球領導者， OpenText 提供您的組織快速產生有意義、可操作且動態的威脅情報所需的正確工具。