譯者 | 陳峻

審校 | 重樓

你一定聽說過有關黑客不靠正面發起攻擊、僅憑密碼登陸，便可毫不費力地闖入目標系統的相關報道。現如今，惡意行為者鮮少去暴力猜測密碼或強行攻入系統，他們往往會使用那些或是從系統漏洞中泄露的、或是從會話cookie中竊取的憑據、或是通過誘騙員工交出的訪問權限，堂而皇之地進入系統。

那么，是因為系統缺乏頂尖的安全防護工具嗎？并不是。運維人員通常都能收到大量的安全警報。他們只是無法知曉哪些警報是真正重要的？同時，他們也在持續修補各種漏洞，只是無法知曉哪些漏洞是會被黑客真正利用的。

這便是網絡威脅情報（Cyber Threat Intelligence，CTI）的用武之地。它可以幫助企業在威脅發生之前預測攻擊，了解其運作方式，并在威脅造成損害之前阻斷攻擊。這就像你已經確切知道了竊賊正在計劃何時、以及如何搶劫你的房子那樣。你不會只是鎖門那么簡單，而一定還會通過設置監控來加固防范弱點，甚至會主動打電話給警察尋求前攝性的支援。而及時獲取網絡威脅情報，對于你的企業業務來說，也能起到相似的作用。

下面，我將和你討論網絡威脅情報是如何工作的、其重要性，以及如何使用它來保持企業網絡系統的安全態勢。

何為網絡威脅情報

網絡威脅情報主要涉及到收集、分析和使用有關當前或潛在網絡威脅的數據。其旨在幫助用戶了解網絡惡意行為者的目標，他們將如何開展攻擊，以及如何阻止他們。通常，CTI有著不同的交付形式。而每一種形式都有著特定的用途：

戰略威脅情報

戰略威脅情報通過分析長期的安全趨勢、新出現的威脅、以及黑客行為的變化，來幫助你預測可能存在的風險。你可以據此在威脅發生之前調整安全策略，而不是被動地遭遇攻擊。

若你需要獲取和實踐戰略威脅情報，需要使用 Recorded Future 或 ThreatConnect 等威脅情報平臺（intelligence platforms，TIPs），實時地跟蹤行業特定的網絡威脅，并且始終監控來自MITRE ATT&CK、IBM X-Force 或 CISA 等組織的網絡安全報告，以保持企業網絡系統的安全態勢。此外，你也應該定期進行安全評估，以便讓你的團隊能夠在網絡安全策略與威脅的不斷變化中，取得動態平衡。

戰術威脅情報

戰術威脅情報可以幫助安全團隊了解惡意行為者用于滲透系統的策略、技術和程序（tactics, techniques, and procedures，TTP）。基于這些知識，你不但可以加強防御，而且能夠培訓你的員工有效地識別和應對各類攻擊。若你需要獲取和實現這些情報，請使用MITRE ATT&CK框架，來研究現實世界的攻擊方法，并制定有效的對策。同時，請部署 Splunk 或 IBM QRadar 等安全信息和事件管理（Security Information and Event Management，SIEM）系統，以實時對攻擊模式進行檢測和分析。此外，使用 KnowBe4 等工具進行網絡釣魚意識培訓，也可以幫助員工識別社會工程層面上的各種策略。

運營威脅情報

運營威脅情報提供了對活動威脅的實時洞察，使得安全團隊能夠在攻擊升級之前，檢測并消除攻擊。你可以通過設置 FireEye、Cisco Talos 或 Palo Alto Unit 42 等威脅情報源，以獲取有關網絡威脅的實時更新，同時使用 Snort 或 Suricata 等入侵檢測系統（Intrusion Detection Systems，IDS），來監控網絡流量或可疑傳輸。此外，請務必使用 Cortex XSOAR 等安全編排、自動化和響應（Security Orchestration, Automation, and Response，SOAR）平臺，實現自動化事件響應的工作流程，以減少遏制威脅所需的時間。

技術威脅情報

技術威脅情報側重于跟蹤網絡威脅的特定技術指標，例如：惡意軟件簽名、惡意 IP 地址和其他入侵指標（Indicators of Compromise，IOC）。這些指標有助于在攻擊造成損害之前，對其進行檢測和抑制。

若你需要獲取和實踐這些情報，可以使用 AlienVault Open Threat Exchange （OTX）等威脅情報共享平臺，來訪問最新的 IOC，同時部署 CrowdStrike Falcon 和 Microsoft Defender ATP 等端點檢測和響應（endpoint detection and response，EDR）工具，以實時檢測惡意軟件和可疑活動。此外，應確保持續更新防火墻、防病毒軟件和入侵防御系統（intrusion prevention systems，IPS），以保護你的企業免受已知的網絡威脅。

為何需要網絡威脅情報

面對日益嚴重的網絡威脅，企業需要利用網絡威脅情報的如下優勢，來捍衛網絡與系統安全：

主動防御

網絡威脅情報可以幫助你預測網絡攻擊，讓你能夠在攻擊發生之前采取行動，而不是在發生后才亡羊補牢。據此，你可以識別各種攻擊模式，預測潛在的違規行為，進而提前采取對應的安全措施。

降低風險敞口

網絡威脅情報可以幫助你先于網絡惡意行為者檢測并發現漏洞，并在漏洞成為問題之前對其進行修補。

改進事件響應

當你知道了應查找哪些威脅時，你的安全團隊可以更快地做出響應，并在威脅升級之前予以遏制。

更明智的安全決策

并非所有的威脅都會帶來相同級別的風險。網絡威脅情報可以幫助你專注于那些實質性的威脅，確保將資源用于最嚴重、最緊迫的網絡安全風險，實現在處置關鍵漏洞的同時，節省次要威脅的處理時間和精力。

網絡威脅情報的工作流程

網絡威脅情報通常會遵循如下結構化的流程，來收集和分析信息：

收集威脅信息

安全團隊從威脅源、暗網監控、蜜罐和安全日志等來源收集信息。這些來源提供了對已知和新出現的威脅的見解，有助于企業抵御各種網絡攻擊的變種。

分析威脅

安全專家通過實時監控網絡流量、安全日志和警報，來檢測異常并識別可疑活動，進而在威脅升級之前阻斷攻擊。

對威脅進行分類

安全分析師可以根據嚴重性及其影響程度，對威脅進行分類，建議企業優先關注那些最關鍵的漏洞。

共享威脅信息

網絡威脅情報組織與利益相關者、政府機構和安全合作伙伴等共享相關的威脅信息，以改進他們的整體防御策略。

如何在企業中實施網絡威脅情報

你可以參照如下步驟在企業中實施網絡威脅情報：

評估你的安全需求

請確定需要保護的關鍵資產，以及你所在行業的網絡安全風險。這將有助于在重要之處確定安全防護的優先級。

選擇正確的工具

購置威脅情報平臺和 SIEM 系統，以便更高效地分析和響應威脅。

培訓你的團隊

員工是企業安全的第一道防線。通過對他們進行網絡威脅、網絡釣魚詐騙、以及最佳安全實踐等方面的培訓，以防止可能危及企業安全的人為錯誤。

與安全專家合作

通過加入網絡安全社區，與專業人士及專家合作，以獲取最新的威脅洞察。

讓情報保持最新

網絡威脅不斷變化，應確保你的情報數據始終為最新。

總之，通過執行上述步驟，以構建強大的網絡安全策略，并保護貴企業免受不斷演變的威脅。

網絡威脅情報的挑戰

如上文所述，雖然網絡威脅情報具有顯著的安全優勢，但它也可能給企業帶來一定的挑戰：

數據過載

海量的威脅情報可能讓人們不知所措。也就是說，安全團隊經常會面臨源自多個來源的大量威脅情報信息，他們很難確定其中真正相關的內容。如果沒有合適的工具或自動化，那些有價值的洞見可能會被淹沒在噪音里。對此，我們可以采取如下處理方法：

• 使用 ThreatConnect 或 Anomali 等威脅情報平臺（TIP）自動過濾源自多個來源的情報。
• 實施 Splunk 或 IBM QRadar 等支持機器學習的 SIEM 工具，以分析大數據集，并更快地檢測出實際的威脅。
• 設置自定義的警報和風險評分，以優先評估高風險的威脅，并篩選掉不必要的信息。

成本高

通常，購置高級的安全工具和聘用專業的分析師會比較昂貴，這會讓小型企業難以負擔。對此，我們可以采取如下處理方法：

• 利用免費的開源威脅情報源，例如 AlienVault OTX、Abuse.ch 或 MITRE ATT&CK。
• 使用具有可擴展性定價的、基于云服務的安全解決方案，例如 Microsoft Defender for Business 和 CrowdStrike Falcon Go，以避免高昂的前期成本。
• 外包給托管安全服務提供商（Managed Security Service Providers，MSSP），以獲取專家水準的威脅情報，而無需雇用內部團隊。

不斷變化的威脅

網絡惡意行為者一直在調整他們的攻擊策略，這逼迫著企業利用網絡威脅情報的能力，也應與時俱進。對此，我們可以采取如下處理方法：

• 訂閱來自 FireEye、Cisco Talos 和 Palo Alto Unit 42 等提供商的實時威脅情報源。
• 使用 AI 驅動的網絡安全工具（如 Darktrace 或 Vectra AI）實現對威脅的自動檢測和響應。
• 使用 KnowBe4 等平臺定期對員工進行新出現的威脅培訓，以確保人工防御措施與技術持續更新。
• 通過實施正確的工具、以及自動化且經濟高效的策略，以克服挑戰并最大限度地發揮網絡威脅情報的價值。

網絡威脅情報的未來

當今，網絡威脅對于許多企業來說，已是一項真實且日益嚴峻的挑戰。惡意行為者每天都在持續迭代。因此，你應該通過實施正確的網絡威脅情報工具和策略，加強防御，盡早檢測出威脅，并在那些會造成高昂代價的攻擊發生之前予以遏制。

同時，AI 驅動的自動化、實時的威脅共享、以及預測性的分析等技術，都會讓網絡威脅情報能夠以前所未有的速度，識別和阻止各類網絡威脅與攻擊。為此，企業需要主動投資此類安全措施，才能盡早發現新的網絡威脅，采取及時的保護，并且縮短事件響應的時間。

譯者介紹

陳峻（Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。

原文標題：Why Cyber Threat Intelligence is Essential for Modern Businesses，作者：Victoria Oluchi Nwoke