譯者 | 陳峻

審校 | 重樓

你一定聽說過有關(guān)黑客不靠正面發(fā)起攻擊、僅憑密碼登陸，便可毫不費力地闖入目標(biāo)系統(tǒng)的相關(guān)報道。現(xiàn)如今，惡意行為者鮮少去暴力猜測密碼或強行攻入系統(tǒng)，他們往往會使用那些或是從系統(tǒng)漏洞中泄露的、或是從會話cookie中竊取的憑據(jù)、或是通過誘騙員工交出的訪問權(quán)限，堂而皇之地進入系統(tǒng)。

那么，是因為系統(tǒng)缺乏頂尖的安全防護工具嗎？并不是。運維人員通常都能收到大量的安全警報。他們只是無法知曉哪些警報是真正重要的？同時，他們也在持續(xù)修補各種漏洞，只是無法知曉哪些漏洞是會被黑客真正利用的。

這便是網(wǎng)絡(luò)威脅情報（Cyber Threat Intelligence，CTI）的用武之地。它可以幫助企業(yè)在威脅發(fā)生之前預(yù)測攻擊，了解其運作方式，并在威脅造成損害之前阻斷攻擊。這就像你已經(jīng)確切知道了竊賊正在計劃何時、以及如何搶劫你的房子那樣。你不會只是鎖門那么簡單，而一定還會通過設(shè)置監(jiān)控來加固防范弱點，甚至?xí)鲃?/span>打電話給警察尋求前攝性的支援。而及時獲取網(wǎng)絡(luò)威脅情報，對于你的企業(yè)業(yè)務(wù)來說，也能起到相似的作用。

下面，我將和你討論網(wǎng)絡(luò)威脅情報是如何工作的、其重要性，以及如何使用它來保持企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢。

何為網(wǎng)絡(luò)威脅情報

網(wǎng)絡(luò)威脅情報主要涉及到收集、分析和使用有關(guān)當(dāng)前或潛在網(wǎng)絡(luò)威脅的數(shù)據(jù)。其旨在幫助用戶了解網(wǎng)絡(luò)惡意行為者的目標(biāo)，他們將如何開展攻擊，以及如何阻止他們。通常，CTI有著不同的交付形式。而每一種形式都有著特定的用途：

戰(zhàn)略威脅情報

戰(zhàn)略威脅情報通過分析長期的安全趨勢、新出現(xiàn)的威脅、以及黑客行為的變化，來幫助你預(yù)測可能存在的風(fēng)險。你可以據(jù)此在威脅發(fā)生之前調(diào)整安全策略，而不是被動地遭遇攻擊。

若你需要獲取和實踐戰(zhàn)略威脅情報，需要使用 Recorded Future 或 ThreatConnect 等威脅情報平臺（intelligence platforms，TIPs），實時地跟蹤行業(yè)特定的網(wǎng)絡(luò)威脅，并且始終監(jiān)控來自MITRE ATT&CK、IBM X-Force 或 CISA 等組織的網(wǎng)絡(luò)安全報告，以保持企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全態(tài)勢。此外，你也應(yīng)該定期進行安全評估，以便讓你的團隊能夠在網(wǎng)絡(luò)安全策略與威脅的不斷變化中，取得動態(tài)平衡。

戰(zhàn)術(shù)威脅情報

戰(zhàn)術(shù)威脅情報可以幫助安全團隊了解惡意行為者用于滲透系統(tǒng)的策略、技術(shù)和程序（tactics, techniques, and procedures，TTP）。基于這些知識，你不但可以加強防御，而且能夠培訓(xùn)你的員工有效地識別和應(yīng)對各類攻擊。若你需要獲取和實現(xiàn)這些情報，請使用MITRE ATT&CK框架，來研究現(xiàn)實世界的攻擊方法，并制定有效的對策。同時，請部署 Splunk 或 IBM QRadar 等安全信息和事件管理（Security Information and Event Management，SIEM）系統(tǒng)，以實時對攻擊模式進行檢測和分析。此外，使用 KnowBe4 等工具進行網(wǎng)絡(luò)釣魚意識培訓(xùn)，也可以幫助員工識別社會工程層面上的各種策略。

運營威脅情報

運營威脅情報提供了對活動威脅的實時洞察，使得安全團隊能夠在攻擊升級之前，檢測并消除攻擊。你可以通過設(shè)置 FireEye、Cisco Talos 或 Palo Alto Unit 42 等威脅情報源，以獲取有關(guān)網(wǎng)絡(luò)威脅的實時更新，同時使用 Snort 或 Suricata 等入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS），來監(jiān)控網(wǎng)絡(luò)流量或可疑傳輸。此外，請務(wù)必使用 Cortex XSOAR 等安全編排、自動化和響應(yīng)（Security Orchestration, Automation, and Response，SOAR）平臺，實現(xiàn)自動化事件響應(yīng)的工作流程，以減少遏制威脅所需的時間。

技術(shù)威脅情報

技術(shù)威脅情報側(cè)重于跟蹤網(wǎng)絡(luò)威脅的特定技術(shù)指標(biāo)，例如：惡意軟件簽名、惡意 IP 地址和其他入侵指標(biāo)（Indicators of Compromise，IOC）。這些指標(biāo)有助于在攻擊造成損害之前，對其進行檢測和抑制。

若你需要獲取和實踐這些情報，可以使用 AlienVault Open Threat Exchange （OTX）等威脅情報共享平臺，來訪問最新的 IOC，同時部署 CrowdStrike Falcon 和 Microsoft Defender ATP 等端點檢測和響應(yīng)（endpoint detection and response，EDR）工具，以實時檢測惡意軟件和可疑活動。此外，應(yīng)確保持續(xù)更新防火墻、防病毒軟件和入侵防御系統(tǒng)（intrusion prevention systems，IPS），以保護你的企業(yè)免受已知的網(wǎng)絡(luò)威脅。

為何需要網(wǎng)絡(luò)威脅情報

面對日益嚴重的網(wǎng)絡(luò)威脅，企業(yè)需要利用網(wǎng)絡(luò)威脅情報的如下優(yōu)勢，來捍衛(wèi)網(wǎng)絡(luò)與系統(tǒng)安全：

主動防御

網(wǎng)絡(luò)威脅情報可以幫助你預(yù)測網(wǎng)絡(luò)攻擊，讓你能夠在攻擊發(fā)生之前采取行動，而不是在發(fā)生后才亡羊補牢。據(jù)此，你可以識別各種攻擊模式，預(yù)測潛在的違規(guī)行為，進而提前采取對應(yīng)的安全措施。

降低風(fēng)險敞口

網(wǎng)絡(luò)威脅情報可以幫助你先于網(wǎng)絡(luò)惡意行為者檢測并發(fā)現(xiàn)漏洞，并在漏洞成為問題之前對其進行修補。

改進事件響應(yīng)

當(dāng)你知道了應(yīng)查找哪些威脅時，你的安全團隊可以更快地做出響應(yīng)，并在威脅升級之前予以遏制。

更明智的安全決策

并非所有的威脅都會帶來相同級別的風(fēng)險。網(wǎng)絡(luò)威脅情報可以幫助你專注于那些實質(zhì)性的威脅，確保將資源用于最嚴重、最緊迫的網(wǎng)絡(luò)安全風(fēng)險，實現(xiàn)在處置關(guān)鍵漏洞的同時，節(jié)省次要威脅的處理時間和精力。

網(wǎng)絡(luò)威脅情報的工作流程

網(wǎng)絡(luò)威脅情報通常會遵循如下結(jié)構(gòu)化的流程，來收集和分析信息：

收集威脅信息

安全團隊從威脅源、暗網(wǎng)監(jiān)控、蜜罐和安全日志等來源收集信息。這些來源提供了對已知和新出現(xiàn)的威脅的見解，有助于企業(yè)抵御各種網(wǎng)絡(luò)攻擊的變種。

分析威脅

安全專家通過實時監(jiān)控網(wǎng)絡(luò)流量、安全日志和警報，來檢測異常并識別可疑活動，進而在威脅升級之前阻斷攻擊。

對威脅進行分類

安全分析師可以根據(jù)嚴重性及其影響程度，對威脅進行分類，建議企業(yè)優(yōu)先關(guān)注那些最關(guān)鍵的漏洞。

共享威脅信息

網(wǎng)絡(luò)威脅情報組織與利益相關(guān)者、政府機構(gòu)和安全合作伙伴等共享相關(guān)的威脅信息，以改進他們的整體防御策略。

如何在企業(yè)中實施網(wǎng)絡(luò)威脅情報

你可以參照如下步驟在企業(yè)中實施網(wǎng)絡(luò)威脅情報：

評估你的安全需求

請確定需要保護的關(guān)鍵資產(chǎn)，以及你所在行業(yè)的網(wǎng)絡(luò)安全風(fēng)險。這將有助于在重要之處確定安全防護的優(yōu)先級。

選擇正確的工具

購置威脅情報平臺和 SIEM 系統(tǒng)，以便更高效地分析和響應(yīng)威脅。

培訓(xùn)你的團隊

員工是企業(yè)安全的第一道防線。通過對他們進行網(wǎng)絡(luò)威脅、網(wǎng)絡(luò)釣魚詐騙、以及最佳安全實踐等方面的培訓(xùn)，以防止可能危及企業(yè)安全的人為錯誤。

與安全專家合作

通過加入網(wǎng)絡(luò)安全社區(qū)，與專業(yè)人士及專家合作，以獲取最新的威脅洞察。

讓情報保持最新

網(wǎng)絡(luò)威脅不斷變化，應(yīng)確保你的情報數(shù)據(jù)始終為最新。

總之，通過執(zhí)行上述步驟，以構(gòu)建強大的網(wǎng)絡(luò)安全策略，并保護貴企業(yè)免受不斷演變的威脅。

網(wǎng)絡(luò)威脅情報的挑戰(zhàn)

如上文所述，雖然網(wǎng)絡(luò)威脅情報具有顯著的安全優(yōu)勢，但它也可能給企業(yè)帶來一定的挑戰(zhàn)：

數(shù)據(jù)過載

海量的威脅情報可能讓人們不知所措。也就是說，安全團隊經(jīng)常會面臨源自多個來源的大量威脅情報信息，他們很難確定其中真正相關(guān)的內(nèi)容。如果沒有合適的工具或自動化，那些有價值的洞見可能會被淹沒在噪音里。對此，我們可以采取如下處理方法：

• 使用 ThreatConnect 或 Anomali 等威脅情報平臺（TIP）自動過濾源自多個來源的情報。
• 實施 Splunk 或 IBM QRadar 等支持機器學(xué)習(xí)的 SIEM 工具，以分析大數(shù)據(jù)集，并更快地檢測出實際的威脅。
• 設(shè)置自定義的警報和風(fēng)險評分，以優(yōu)先評估高風(fēng)險的威脅，并篩選掉不必要的信息。

成本高

通常，購置高級的安全工具和聘用專業(yè)的分析師會比較昂貴，這會讓小型企業(yè)難以負擔(dān)。對此，我們可以采取如下處理方法：

• 利用免費的開源威脅情報源，例如 AlienVault OTX、Abuse.ch 或 MITRE ATT&CK。
• 使用具有可擴展性定價的、基于云服務(wù)的安全解決方案，例如 Microsoft Defender for Business 和 CrowdStrike Falcon Go，以避免高昂的前期成本。
• 外包給托管安全服務(wù)提供商（Managed Security Service Providers，MSSP），以獲取專家水準(zhǔn)的威脅情報，而無需雇用內(nèi)部團隊。

不斷變化的威脅

網(wǎng)絡(luò)惡意行為者一直在調(diào)整他們的攻擊策略，這逼迫著企業(yè)利用網(wǎng)絡(luò)威脅情報的能力，也應(yīng)與時俱進。對此，我們可以采取如下處理方法：

• 訂閱來自 FireEye、Cisco Talos 和 Palo Alto Unit 42 等提供商的實時威脅情報源。
• 使用 AI 驅(qū)動的網(wǎng)絡(luò)安全工具（如 Darktrace 或 Vectra AI）實現(xiàn)對威脅的自動檢測和響應(yīng)。
• 使用 KnowBe4 等平臺定期對員工進行新出現(xiàn)的威脅培訓(xùn)，以確保人工防御措施與技術(shù)持續(xù)更新。
• 通過實施正確的工具、以及自動化且經(jīng)濟高效的策略，以克服挑戰(zhàn)并最大限度地發(fā)揮網(wǎng)絡(luò)威脅情報的價值。

網(wǎng)絡(luò)威脅情報的未來

當(dāng)今，網(wǎng)絡(luò)威脅對于許多企業(yè)來說，已是一項真實且日益嚴峻的挑戰(zhàn)。惡意行為者每天都在持續(xù)迭代。因此，你應(yīng)該通過實施正確的網(wǎng)絡(luò)威脅情報工具和策略，加強防御，盡早檢測出威脅，并在那些會造成高昂代價的攻擊發(fā)生之前予以遏制。

同時，AI 驅(qū)動的自動化、實時的威脅共享、以及預(yù)測性的分析等技術(shù)，都會讓網(wǎng)絡(luò)威脅情報能夠以前所未有的速度，識別和阻止各類網(wǎng)絡(luò)威脅與攻擊。為此，企業(yè)需要主動投資此類安全措施，才能盡早發(fā)現(xiàn)新的網(wǎng)絡(luò)威脅，采取及時的保護，并且縮短事件響應(yīng)的時間。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗。

原文標(biāo)題：Why Cyber Threat Intelligence is Essential for Modern Businesses，作者：Victoria Oluchi Nwoke