技術主題

什麼是威脅情報?

以筆記型電腦為重點的 IT 專案插圖

概述

什麼是網路威脅情報?威脅情報也稱為網路安全情報,是針對組織網路、設備、應用程式和數據的犯罪活動的循證資訊。它使企業能夠更好地了解過去、當前和未來的網路危險。它包括機制、背景、影響、指標和關於資訊資產新出現或現有危害的面向行動的建議。

威脅情報資訊可以指導企業確定哪些網路資產受到攻擊的風險最大,以及哪些資產的攻擊影響最大。它為企業提供了他們需要的知識,讓他們知道要保護哪些資訊資產、保護它們的最佳方法以及最合適的緩解工具。威脅情報為準確、相關、可操作、及時和明智的決策提供了所需的上下文。

作為一個概念,威脅情報很容易理解。然而,收集所需的資訊並對其進行分析要具有挑戰性得多。大量可能危及或削弱企業資訊技術的威脅可能會讓人感到不知所措。

收集的一些上下文威脅情報包括您的漏洞是什麼、誰在攻擊您、他們的動機是什麼、他們的能力是什麼、他們可能對您的資訊資產造成什麼損害,以及您應該注意哪些入侵指標。

OpenText™ ArcSight™ 情報為您提供有關對您的基礎設施、財務和聲譽的最強大威脅的資訊。有了它,您可以建立防禦機制並設置有效的風險緩解措施。

威脅情報

為什麼威脅情報很重要

威脅情報工具從多個來源讀取有關現有和新出現的威脅以及威脅參與者的原始數據。對數據進行分析和過濾,以開發可供自動化安全解決方案使用的情報源和報告。為什麼這很重要?

  • 獲取組織保護自己免受威脅和攻擊所需的資訊。
  • 及時瞭解不良行為者、各種漏洞、攻擊方法、零日漏洞利用和高級持續性威脅帶來的風險。
  • 維護一種結構化的方式來處理跨越眾多參與者和未連接系統的大量內部和外部威脅數據。
  • 避免誤報。
  • 最大限度地減少數據洩露以及隨之而來的財務、聲譽和合規成本。
  • 獲取識別最有可能起作用的安全工具所需的知識。
  • 網路安全團隊和分析人員可以對未來的威脅保持積極主動,同時避免處理大量、未經處理、未確定優先順序的原始數據的負擔。
  • 讓領導者、使用者和利益相關者瞭解最新威脅以及威脅可能對組織產生的影響。
  • 提供決策者可以理解的及時上下文。

威脅情報對於網路連接到萬維網的任何人來說都至關重要,這幾乎是當今每個組織。防火牆和其他安全系統很重要,但它們並不能取代企業隨時瞭解危及其資訊系統的威脅的需求。當今網路攻擊的多樣性、複雜性和可擴充性使得威脅情報變得至關重要。


威脅情報生命週期

威脅情報不是由清單驅動的端到端過程。它是連續的、週期性的和反覆運算的。永遠不會有一個時間點,一個組織已經識別並消除了所有潛在的威脅。

威脅情報生命週期是對威脅環境不斷變化的性質的認識。避免一次攻擊或危機並不意味著工作已經完成。您必須立即考慮、預測併為下一個做好準備。新的差距和問題將繼續出現,需要新的情報要求。

威脅情報生命週期包括以下步驟。

  • 規劃 – 定義數據收集的要求。提出具體問題,引導您朝著正確的方向前進,並旨在生成可操作的資訊。確定誰將成為威脅情報的最終消費者。
  • 收集 – 從可靠來源收集原始威脅數據。這裡的可靠來源可能包括系統審計跟蹤、過去的事件、內部風險報告、技術外部來源和更廣泛的互聯網。
  • 處理 – 組織原始數據以準備分析。放置元數據標記,以便更輕鬆地消除冗餘資訊、漏報和誤報。SIEM 可以促進該組織的發展。他們使用關聯規則來構建不同用例的數據。
  • 分析 – 分析階段是威脅情報與基本資訊收集和傳播的區別,因為它是您理解數據的地方。將結構化分析技術應用於處理後的資訊並量化威脅。這將生成威脅情報源,工具和分析師會對其進行掃描以確定入侵指標。入侵指標包括可疑的IP位址、URL、電子郵件、電子郵件附件、註冊表項和哈希。
  • 傳播 – 威脅情報在正確的時間轉發給正確的人時會起作用。 Share 使用預定義的內部和外部溝通管道與相關利益相關者進行分析。以目標受眾更容易理解的格式傳播資訊。這可能包括從威脅清單到同行評審報告。在大型組織中,威脅檢測和緩解是涉及多個團隊的集體工作。讓每個人都了解情況,以發現新的見解、解決方案和機會。
  • 集成 - 將可操作的威脅情報集成到工作流、事件響應計劃和票證系統中。
  • 經驗教訓 - 分析情報,瞭解長期經驗教訓和更廣泛的影響。對策略、過程、流程、基礎結構和配置進行適當的更改。
  • 反饋 – 查看操作並確認威脅是否已被阻止或遏制。

網路安全威脅的類型和威脅情報

網路安全威脅和威脅情報可以根據業務需求、情報來源和目標受眾進行分類。在這方面,有三種類型的網路安全威脅和威脅情報。

戰略威脅情報

這些是廣泛或長期的趨勢或問題。對戰略威脅的審查通常是高級非技術受眾(如最高管理層)的專利。戰略威脅情報提供了威脅的能力和意圖的鳥瞰圖,從而可以做出明智的決策並及時發出警告。

戰略威脅情報的來源包括新聞媒體、主題專家、非政府組織政策檔、安全白皮書和研究報告。

戰術威脅情報

戰術威脅情報通過日常情報事件和操作處理入侵指標,為威脅參與者的程式、技術和戰術提供結構。它是面向技術性更強的受眾的智慧,例如安全專業人員、系統架構師和網路管理員。

戰術威脅情報使組織能夠更深入地了解他們如何受到攻擊,以及針對這些攻擊的最佳防禦措施。來自安全供應商和企業網路安全顧問的報告通常是戰術威脅情報的主要來源。

運營威脅情報

操作威脅情報也稱為技術威脅情報。它非常專業,技術含量很高。它處理特定的攻擊、惡意軟體、工具或活動。

操作威脅情報可以採用取證威脅情報報告、威脅數據源或截獲的威脅組通信的形式。它使事件回應團隊能夠深入瞭解特定攻擊的時間、性質和意圖。


什麼是威脅檢測?

威脅檢測是一個有時與威脅情報互換使用的術語,但兩者的含義並不相同。威脅檢測是對數據的被動監控,以發現潛在的安全問題。

它專注於在安全漏洞之前、期間或之後發現和識別威脅。威脅可能是惡意軟體範例中的字串、異常部件上的網路連接、網路流量意外激增或下降,或者是保存到臨時目錄的可執行檔。

數據洩露檢測工具可分析使用者、數據、應用程式和網路行為的異常活動。入侵檢測系統是威脅檢測工具的一個例子。


威脅情報和威脅檢測如何協同工作

威脅檢測系統通常使用來自 H-ISAC 等廣泛社區的威脅情報來檢查網路流量。他們部署自定義警報和事件通知。威脅檢測工具允許監控來自不同來源的日誌,並針對不同的環境進行定製。

因此,當檢測到威脅時,會發出警報。通常,人類會進行干預,審查威脅,確定正在發生的事情,並採取適當的行動。


正確的工具,提供正確的威脅情報

當今的組織面臨攻擊者的風險,這些攻擊者可能有數百萬種方式來獲得未經授權的訪問並造成嚴重破壞。此外,威脅的規模、複雜性和複雜性也在不斷增長。這意味著,儘管你和你的組織盡了最大努力,但最好假設攻擊者會突破。建立適當的物理和邏輯控制對減少成功攻擊的機會大有説明。

威脅情報對於及時有效地檢測和回應威脅是必不可少的,也是瞭解和防範潛在網路安全威脅的必要因素。您的團隊和組織對潛在威脅的瞭解越好,您就越有能力制定功能回應並確定其優先順序,並快速檢測威脅。

即使對於小型企業來說,威脅情報也是一項艱巨而耗時的工作。幸運的是,市場上有許多威脅情報工具可以提供説明。然而,並非所有人都是平等的。被公認為網路安全領域的全球領導者, OpenText 提供組織所需的正確工具,以快速生成有意義、可操作的動態威脅情報。

相關產品

OpenText™ ArcSight™ 情報

主動檢測內部風險、新型攻擊和高級持續性威脅

OpenText™ ArcSight™ Enterprise Security Manager (ESM)

通過即時檢測和本機 SOAR 加速威脅檢測和回應

OpenText™ Cybersecurity Cloud

更智慧、更簡單的保護

ArcSight Recon 由 OpenText™

簡化日誌管理和合規性,同時加快取證調查。通過大數據搜索、可視化和報告來搜尋和擊敗威脅

我們能提供什麼協助?

腳注