什么是网络安全威胁情报？

 

网络安全威胁情报（Cyber Threat Intelligence，CTI），也称为威胁情报，是指通过收集和分析有关组织数字基础设施所面临的网络安全威胁数据而获得的信息。CTI 能帮助组织了解相关威胁，以及与之相关的威胁行为者所使用的战术、技术与程序（TTPs）。

 

这些可操作的威胁信息能够帮助组织制定有效策略，用于修补漏洞并更好应对潜在攻击。这种主动型安全情报旨在降低随着网络威胁快速演化和复杂化而不断上升的风险。

 

网络安全威胁情报来源有哪些？

 

威胁情报来源广泛，有助于组织了解潜在威胁及当前的网络威胁态势，从而更有效地预判并应对安全挑战。常见来源包括：

 

• 开源情报（OSINT）：来自公开渠道的情报，例如新闻、博客、论坛与社交媒体。包括搜索引擎、Google Dorks 等工具。
• 社交媒体情报（SOCMINT）：来自 Twitter、Facebook、LinkedIn 等平台的数据，包括关于最新攻击及漏洞利用的讨论。
• 内部安全来源：如 SIEM、防火墙、IPS、终端安全以及其他内部威胁情报。
• 暗网论坛：网络犯罪者在暗网交流情报，可反映最新攻击方式和潜在目标。
• 商业威胁情报供应商：提供实时威胁监测和专业分析的安全服务机构。

 

网络安全威胁情报的类型有哪些？

 

从这些数据来源能构建出不同类型的威胁情报。通常分为以下四类：

 

战略威胁情报

 

战略情报提供高层视角，关注威胁趋势、模式及对组织长期目标的影响，常用于高管层的安全决策及资源规划。特点包括：

 

• 关注宏观威胁与趋势
• 基于地缘政治、经济与技术发展
• 用于制定政策和战略方向

 

战术威胁情报

 

战术情报关注威胁行为者使用的战术、技术与程序（TTP），帮助安全团队理解攻击方式并加强防护。特点包括：

 

• 聚焦攻击行为与习惯
• 提供明确的安全建议
• 常包含具体防护措施

 

操作威胁情报

 

操作情报关注当前正在发生或即将发生的威胁，包括攻击行为、事件细节及 IOC。特点包括：

 

• 提供实时且相关的信息
• 强化检测与事件响应
• 包含 IOC（如 IP、哈希）

 

技术威胁情报

 

技术情报包含技术细节，如恶意软件签名、漏洞利用与攻击方式，对分析与响应尤为关键。特点包括：

 

• 深入技术分析
• 可集成至防护工具（SIEM/防火墙）
• 提升检测与拦截能力

 

网络安全威胁情报生命周期

 

网络安全威胁情报生命周期，包含六个阶段，用于将原始数据转化为可操作情报，帮助组织进行更有效的安全决策。

 

阶段 1：规划

 

第一阶段由规划开始，组织定义情报需求，包括识别最关键的威胁与漏洞，并对应利益相关者需求设定目标与范围，从而明确优先方向。

 

阶段 2：收集

 

在此阶段，安全团队收集原始威胁数据及处理后的威胁情报，例如 OSINT，以及其他威胁源，通常通过 SIEM 或威胁情报平台集中管理。

 

阶段 3：处理

 

收集的数据需要进行处理，例如日志解析、数据清洗或使用 MITRE ATT&CK 框架映射行为与 TTP。

 

阶段 4：分析

 

分析阶段将处理后的数据进行关联与洞察挖掘，旨在为组织提供可执行的决策依据。

 

阶段 5：分发

 

分析结果需要被分发给相关人员，包括仪表盘、报告或预警，面向管理层或技术团队。

 

阶段 6：反馈

 

最后收集反馈，用于优化情报流程，使其持续适应安全需求。

 

网络安全威胁情报的价值

 

凭借更快的检测与响应能力，CTI 帮助组织主动识别和缓解威胁，从而降低网络安全事件发生的风险。

 

总体而言，威胁情报可加强组织安全能力，使其更了解最新威胁和漏洞、威胁行为者动机，并指导长期安全投资。

 

安信资讯安全的威胁情报优势

 

许多企业虽然部署 CTI，但依赖通用全球情报内容，难以适应本区域威胁，导致可见性不足，行动策略有限。

 

安信资讯安全专注亚洲本地化威胁情报，由自有研究团队提供行业与区域深度分析，覆盖金融、关键基础设施、医疗等多个领域。

 

我们提供行业定制威胁研究报告，可根据行业面临的威胁态势定制分析，欢迎联系我们获取定制报告。

 

我们每年发布《网络威胁态势报告》，从全球视角深入亚洲包括新加坡、澳洲、香港、中国、韩国、马来西亚和印尼等关键地区。点击这里订阅列表。