最近被談論的異常火熱的一個術語就是威脅情報，那么威脅情報到底是什么意思，它是一種什么概念或者機制呢?本文中我們就來親密接觸一下威脅情報，并了解它所具有的功能，然后給出幾個威脅情報的最佳實踐示例，最后分析威脅情報有助于SIEM解決什么問題。

[[155677]]

什么是威脅情報?

最近，威脅情報受到廣泛的關注。它有很多種不同的定義，下面列出了一些經常被引用的定義：

威脅情報是基于證據的知識，包括上下文、機制、指標、隱含和可操作的建議，針對一個現存的或新興的威脅，可用于做出相應決定的知識。—Gartner

針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標，所收集的用于評估和應用的數據集。—SANS研究院

簡單地說，威脅情報就是能幫助你識別安全威脅并做出明智決定的知識。威脅情報可以幫助你解決以下問題：

1、針對大量的安全威脅信息，包括網絡威脅者、威脅方式、漏洞、目標等等，如何跟上時代的步伐?

2、如何主動獲取關于未來安全威脅的信息?

3、如何通知領導關于特定安全威脅的危險和所帶來的后果?

為何每個人都在談論它?

2015年Verizon的DBIR報告估計，從7億份危害紀錄中，安全威脅造成了4億美元的經濟損失，而這些損失則是由79790起安全事件所導致的。只要安全威脅和破壞發生，每個企業都將尋找方法來保護他們的數據。隨著我們對IT系統的依賴，威脅的場景總是處于不斷變化之中，所以企業的經濟損失風險正在不斷增大。

威脅同時來自內部和外部，同時管理威脅的組織都承受著巨大的壓力。盡管信息的原始數據是可用的，但獲取有意義的信息是非常困難且費時的，但是可以通過前期措施來做到這一點。這自然地就把越來越多的用戶吸引到威脅情報這一概念，因為這有助于他們在海量數據、警報和攻擊中對它們進行主次排序，并能夠提供可實施性的信息。

下表給出了威脅情報能夠識別的威脅的幾種常見指標：

威脅情報的功能

攻擊可以大致歸類為基于用戶的、基于應用程序的和基于基礎設施的威脅。一些最常見的威脅是SQL注入、DDoS、Web應用程序攻擊和網絡釣魚。

擁有一個IT安全解決方案是非常重要的，因為它能夠提供威脅情報的能力，并通過主動式和響應式地來管理這些攻擊。攻擊者在不斷改變他們的方法來挑戰安全系統。因此，企業機構就不可避免地從各種源頭獲取到威脅情報。

有效應對威脅行之有效的一種方法是，使用SIEM(Security Information & Event Management system，安全信息&事件管理系統)來檢測并應對威脅。SIEM可以用來跟蹤你的環境中發生的一切，并識別異常的活動。單獨的事件可能看起來并不相關，但通過事件關聯和威脅情報，你就能看到在你的環境中到底發生了什么。

如今，IT安全專家必須在假定的心理缺口下操作。對威脅情報中已知惡意攻擊者的流量進行監控，這將有助于識別惡意活動。然而，這可能需要人工手動操作，并且可能很耗時間。將基于威脅情報的指示器集成到SEIM安全解決方案中，這將有助于識別受危害系統，甚至可能阻止一些攻擊。

最佳實踐

針對不斷變化的威脅場景，整合威脅情報和應對攻擊還不足以對抗它。你需要分析形勢，并確定你可能面臨的威脅，在此基礎上提出預防措施。這里有幾個最佳實踐的例子：

1、制定一個應用程序白名單和黑名單。這有助于防止惡意或未經允許的程序執行操作，包括.DLL文件、腳本和安裝器。

2、仔細檢查你的日志，看看試圖的攻擊是否是一個獨立的事件，或者某個漏洞是否之前被利用過。

3、確定在試圖的攻擊中改變了什么。

4、審計日志并確定為什么發生了這個事件—其原因可能包括從系統漏洞到一個過時的驅動程序中的任何一個。

威脅情報有助于SIEM解決什么問題

一個SIEM，就像SolarWinds 日志和事件管理器，從監控的流量中收集和規范日志數據，并自動標記可疑事件。

隨著威脅情報機制和內建規則的集成，可以將監控的事件與已知的且不斷更新的威脅者對比。從實時的日志數據中你可以快速搜索并監控安全威脅者，并識別常見的危害指標。此外，你也可以自動采取措施，例如禁掉已知的惡意IP地址，以防惡意攻擊的發生。