現在威脅和攻擊者正在迅速演變，大多數企業都無法趕上它們的步伐。新的復雜的零日漏洞也在不斷涌現，并被攻擊者利用來入侵企業系統。與此同時，聰明的攻擊者可以隱藏在企業系統長達數月甚至數年，逐漸竊取企業有價值的數據。

對于試圖部署和管理安全控制來阻止高級攻擊的企業安全團隊而言，威脅情報可以讓他們事半功倍。添加威脅情報到現有的信息安全計劃可以加強威脅評估，并提供更多的關鍵數據來顯示哪些安全控制可以部署在企業環境中以阻止最新的攻擊。

在本文中，我們將探討什么是威脅情報，并討論如何將威脅情報整合到企業信息安全計劃中。

威脅情報的歷史和現狀

企業或服務供應商對威脅情報的定義各有不同。一些人將威脅情報定義為當攻擊發生時發現攻擊，而其他人則將其定義為威脅制造者在攻擊中使用的技術。一般來說，威脅情報是指企業從各種來源收集和分析關于最新威脅媒介的信息，然后利用這些信息來抵御攻擊。

信息安全領域的很多專業人士在老派攻擊時期開始了他們的職業生涯，當時電子郵件列表(例如Bugtraq)、電子雜志(例如Phrack)和互聯網都在快速普及。那個時候，人們使用這些相對簡單的來源作為威脅情報，但即便如此，當時的人們仍然知道和了解很多不同領域的攻擊和研究的最新狀態。相比之下，這在今天是不可能的事情，即使是最專業的安全專家也不可能知道不斷被發現的各種新威脅。

最近，企業嘗試利用IT安全風險管理技術來更好地優化安全控制，以及調整信息安全計劃，但這些方法并沒有足夠完善，來有效地管理風險。添加新方法(例如威脅情報)來幫助優化安全控制可以幫助企業更快地適應最新攻擊，特別是更快地識別它們以及提高事件響應速度。

那么，這些“情報”從何而來?企業可以投資大量資源來打造自己的研究人員和分析師團隊，從頭開始創建一個威脅情報計劃，但大多數企業沒有足夠的資金這樣做。另一種選擇是訂閱安全供應商提供的威脅情報服務。每個供應商都有自己的特色，但很多供應商試圖強調突出其產品組合優勢的威脅情報，因此企業需要考慮采用混合和綜合服務。第三種方法是加入信息共享和分析中心(ISAC)，這種方法正在逐漸流行，這種方法是指大家分享特定行業的威脅數據，然后整合到本地分析和工具中。

整合威脅情報

在選擇威脅情報來源后，企業必須想辦法將威脅情報整合到信息安全計劃中。標準化(通常是XML)的威脅情報資源和信息流可以被整合到各種安全設備中，例如，已知的惡意IP地址可以輸入到防火墻并進行阻止，而已知的惡意域名可以被DNS阻止，惡意下載的文件可以被網絡監控工具識別，或者包括在系統管理工具中來識別特定文件或工具。你還可以配置SIEM系統來整合威脅情報資源以識別受感染主機。后續調查的額外威脅數據也可以用于進一步分析不同的系統，以及與其他企業共享的系統，使得信息能夠投入使用。

威脅情報的一大賣點是企業可以利用這些信息在攻擊啟動之前就抵御攻擊。通過監測威脅情報中是否存在針對特定軟件、系統或行業的攻擊，企業可以確定其是否在使用易受攻擊的軟件或系統，然后在攻擊發生前部署緩解措施。例如，如果攻擊者瞄準了使用漏洞版本WordPress的Web服務器，試圖將其作為攻擊內部網絡的支點，企業可以查找易受攻擊的WordPress安裝，并部署緩解措施，甚至更新到最新版本來阻止這種攻擊。在大型企業中，針對企業網絡中某個區域的攻擊可以用于發現威脅數據，而這些威脅數據可以用于調查對整個網絡的攻擊。

收集和管理內部威脅情報似乎是合理的，但為了有效利用很多其他企業的數據來執行這種工作，企業最好轉向第三方服務供應商。服務供應商可以對入站智能信息進行驗證和數據整理，這樣，企業只需要簡單地導入數據到內部工具，從而專注于阻止和檢測攻擊。

總結

為了阻止老練的攻擊者，企業信息安全計劃需要足夠的靈活性，并添加新方法來提高決策過程。添加威脅情報到信息安全計劃，無論是通過內部部署還是從服務供應商，都可以幫助企業優化安全活動，并專注于最有可能阻止攻擊的領域。隨著威脅變得越來越復雜和有針對性，企業應該抓住一切可以利用的機會來更多地了解用來對付它們的技術，并運用這些知識來建立一個更有效的安全計劃