如何将威胁情报集成到政企的安全运营中？

本文阅读大约需要12分钟；

在网络攻防的持久战中，掌握情报如同拥有“千里眼”和“顺风耳”，能够洞悉攻击者的动机、战术、技术和程序 (TTPs)，从而制定更精准、更有效的防御策略。威胁情报 (Threat Intelligence) 作为网络安全的“情报武器”，在政企安全运营中发挥着越来越重要的作用。

然而，威胁情报的价值并非仅仅体现在获取情报本身，更重要的是如何将情报有效地集成到安全运营中，将其转化为行动，提升防御能力。以下笔者将结合自己的网络安全威胁狩猎经验，深入解析如何将威胁情报融入政企安全运营的六个关键步骤，并以一个贯穿始终的范例，阐明如何将情报转化为行动，打造更加主动、精准和高效的安全防御体系。

起笔时，已临近2024双11，假设我们是一家大型电商企业，拥有庞大的用户群体和海量交易数据，网络安全面临巨大挑战。近期，安全团队发现针对电商行业的攻击活动日益频繁，攻击手段也更加复杂，例如利用新型漏洞、针对性钓鱼攻击、供应链攻击等。为了更好地防御这些攻击，安全团队决定加强威胁情报的应用，将其集成到安全运营的各个环节。

背景：

某大型电商企业，拥有庞大的用户群体和海量交易数据，网络安全面临巨大挑战。近期，安全团队发现针对电商行业的攻击活动日益频繁，攻击手段也更加复杂，例如利用新型漏洞、针对性钓鱼攻击、供应链攻击等。为了更好地防御这些攻击，安全团队决定加强威胁情报的应用，将其集成到安全运营的各个环节。

步骤解析：

步骤 1：识别相关的威胁情报来源

识别情报来源的目的是明确企业需要哪些类型的威胁情报，例如针对特定行业的攻击趋势、最新的漏洞信息、攻击者使用的工具和技术等。其次是根据企业的安全预算和人员配置，选择合适的威胁情报来源。

因为，威胁情报的来源多种多样，例如商业威胁情报平台、开源威胁情报社区、行业信息共享平台、安全厂商的博客和论坛等。有些情报来源侧重于战略层面的分析，有些情报来源则侧重于战术层面的技术细节。不同的来源提供的情报类型、数据质量、更新频率等都存在差异，需要根据企业的实际需求，选择合适的威胁情报来源。只有选择合适的威胁情报来源，才能获取到与企业安全需求相匹配的情报信息。

方法：

• 行业分析: 了解企业所处行业的威胁态势，例如，电商行业经常面临 DDoS 攻击、数据泄露、支付欺诈等威胁。

• 风险评估：评估企业自身面临的风险，例如，哪些系统和数据是最重要的， 哪些攻击手法最有可能被攻击者利用。

• 情报来源调研：了解不同的威胁情报来源，例如，商业威胁情报平台的优势是数据质量高、更新及时，但成本较高；开源威胁情报社区的优势是免费，但数据质量参差不齐。

技巧:

1. 优先选择信誉良好、数据质量高、更新及时的威胁情报来源。

2. 结合多种情报来源，互相补充，验证情报的准确性。

3. 关注行业信息共享平台和安全厂商的博客和论坛，及时了解最新的安全威胁和防御技术。

4. 可以使用一些工具来辅助威胁情报来源的识别，例如：威胁情报平台 (TIP): 一些TIP平台提供了情报来源管理功能，可以帮助企业管理和评估不同的情报来源。

5. 网络安全信息共享平台：例如，国家网络安全信息共享平台 (CNCERT) 、金  融信息共享分析中心 (FS-ISAC) 等，可以提供与特定行业相关的威胁情报。

程序: 建立威胁情报来源评估和筛选机制，定期评估情报来源的可靠性和价值，并根据需要进行调整。例如，可以根据情报的准确性、及时性和相关性等指标对情报来源进行评分，并定期淘汰评分较低的来源。

推荐工具:

1. 商业威胁情报平台：Recorded Future、CrowdStrike、FireEye 等；

2. 开源威胁情报平台MISP (Malware Information Sharing Platform) 、AlienVault OTX (Open Threat Exchange)；

3. 行业信息共享平台：CNCERT、FS-ISAC 等。

4. 安全厂商博客和论坛。

范例：该电商企业安全团队识别出以下威胁情报来源：

• 商业威胁情报平台: 选择 Recorded Future 平台，因为它提供了针对电商行业的威胁情报，包括攻击者情报、恶意软件分析、漏洞预警等，并能通过 API 接口与安全工具集成，实现自动化防御。

• 开源威胁情报社区: 选择 AlienVault OTX 平台，因为它是一个免费的、公开的威胁情报平台，收集了大量的恶意 IP 地址、域名、文件哈希等信息，可以帮助企业快速识别已知的威胁。

• 行业信息共享平台: 加入中国电子商务协会反欺诈系统安全工作委员会，以及与其他电商企业建立安全信息共享机制，及时获取与电商行业相关的安全事件和攻击趋势信息。

步骤 2：收集和汇总威胁情报数据

收集和汇总的目的在于将情报数据进行整理和归类，为后续分析提供统一的数据基础。因为，一旦识别了相关的情报来源后，需要建立高效的情报收集机制， 及时获取最新的威胁情报数据，才能“料敌先机”。这包括从不同的情报来源收集数据，并将其汇总到一个中央存储库中，以便进行后续的分析和利用。

方法：

根据不同的情报来源，采用不同的收集方法，例如，从商业平台获取结构化数据，从开源社区获取非结构化数据等。可以使用自动化工具，例如 API 接口、网络爬虫等，提高情报收集的效率。

使用威胁情报平台 (TIP) 或 SOC(安全运营中心) 平台，集中存储和管理来自不同来源的情报数据，并进行数据清洗和标准化处理，例如将不同格式的数据转换为统一的格式， 去除重复数据等。

技巧：

使用自动化工具，提高情报收集效率，避免人工操作带来的错误和延迟。对收集到的数据进行预处理，例如数据清洗、去重、格式转换等，以便于后续的分析和利用。

程序：制定情报数据质量控制机制，确保情报数据的准确性、完整性和及时性。例如，可以对情报数据进行人工审核，或者使用自动化工具进行数据校验。

推荐工具：

• 威胁情报平台 (TIP)

• 安全运营中心 (SOC)

• 平台API 接口

• 网络爬虫工具

范例：

商业威胁情报平台：安全团队利用 Recorded Future 平台提供的 API 接口，使用 Python 编写脚本，定期获取针对电商行业的最新威胁情报，包括攻击者情报、 恶意软件分析、漏洞预警等，并将数据以 JSON 格式存储到本地数据库中。以下是 Python 代码示例：

import requestsimport json# Recorded Future API 密钥api_key = 'YOUR_API_KEY'# 要查询的威胁情报类型query = 'attacks targeting e-commerce'# API 请求 URLurl = f'https://api.recordedfuture.com/v2/intelligence/query?q={query}&output_format=json'# 发送 API 请求headers = {'X-RFToken': api_key}response = requests.get(url, headers=headers)# 解析响应数据data = json.loads(response.text)# 将数据存储到数据库# ...                                              Python

开源威胁情报社区：安全团队使用 Python 编写网络爬虫脚本，定期从 AlienVault OTX 平台抓取与电商行业相关的恶意 IP 地址、域名、文件哈希等信息，并将数据以 CSV 格式存储到本地文件系统中。以下是 Python 代码示例：

import requestsimport csv# AlienVault OTX API 密钥api_key = 'YOUR_API_KEY'# 要查询的脉冲信息类型pulse_type = 'malware'# API 请求 URLurl = f'https://otx.alienvault.com/api/v1/pulses/subscribed?modified_since=-1d'# 发送 API 请求headers = {'X-OTX-API-KEY': api_key}response = requests.get(url, headers=headers)# 解析响应数据data = response.json()# 提取恶意软件哈希值hashes = [pulse['malware_families'][0]['sha256'] for pulse in data['results'] if pulse.get('malware_families')]# 将哈希值存储到 CSV 文件with open('malware_hashes.csv', 'w', newline='') as csvfile:    writer = csv.writer(csvfile)    writer.writerow(['sha256'])    for hash in hashes:        writer.writerow([hash])                                                   Python

行业信息共享平台：安全团队通过邮件订阅中国电子商务协会反欺诈系统安全工作委员会的最新安全公告，并定期访问该平台的网站，下载最新的安全报告和威胁情报资料。

所有收集到的情报数据都将被汇总到政企内部的威胁情报平台 (TIP) 中，并进行数据清洗和标准化处理，例如将不同格式的数据转换为统一的格式，去除重复数据等。

步骤 3：分析和优先级排序威胁情报数据

步骤3的目的在于对收集到的威胁情报数据进行分析，评估其可信度、相关性和影响，并根据企业的安全目标，对情报进行优先级排序，以便于制定防御策略和资源分配，这一步至关重要，因为，威胁情报的价值在于其准确性、 相关性和及时性。通过分析和评估，可以从海量的情报数据中识别出与企业相关的、 高价值的情报，并根据其潜在风险进行优先级排序，以便于企业集中资源防御最紧急和最具影响力的威胁。

方法:

• 情报筛选：根据情报来源的可信度、情报内容的准确性、情报的时效性等指标，对情报进行初步筛选，排除不可信或过时的信息。

• 情报评估: 根据情报的类型、攻击目标、攻击手法、影响范围等指标，评估情报的潜在威胁等级。

• 情报关联: 将来自不同来源的情报信息进行关联分析，识别攻击者的攻击模式、 攻击目标和攻击链等。

• 风险评估：根据情报评估的结果，结合企业的实际情况，评估情报对企业造成的潜在风险。

技巧：

• 使用结构化分析方法， 例如 STIX (Structured Threat Information Expression)、 TAXII (Trusted Automated Exchange of Intelligence Information) 等， 对情报数据进行标准化处理， 便于自动化分析和处理。

• 使用威胁情报平台 (TIP) 提供的分析工具，例如情报关联、攻击路径分析等，对情报数据进行深入分析，识别潜在的攻击目标和攻击手法。例如，可以通过关联分析发现多个攻击事件之间是否存在联系，从而识别出攻击者的攻击目标和攻击链。

程序：制定情报分析报告模板，定期生成情报分析报告，并与相关部门共享情报信息。例如，可以每周生成一份针对电商平台的威胁情报分析报告，并将其发送给安全运营团队、事件响应团队、风险管理部门等相关部门。

推荐工具：

• 威胁情报平台 (TIP)

• 安全运营中心（SOC)

• 平台情报关联分析工具

• 攻击路径分析工具

• 代码或脚本：可以使用 Python 或其他脚本语言，编写脚本来自动化情报分析和优先级排序过程， 例如， 根据预设的规则， 对情报数据进行打分， 并按照分数高低进行排序。

范例：安全团队分析了从各个来源收集到的威胁情报数据， 发现以下信息：

Recorded Future 平台报告称，近期一个名为 “Silent Starling” 的黑客组织针对多个电商平台发起了攻击， 该组织常用 SQL 注入、 XSS 等攻击手段窃取用户数据。该组织的攻击目标通常是用户数据库和支付系统， 其攻击成功率较高， 已经造成多家电商平台数据泄露。

AlienVault OTX 平台上发现多个与电商平台攻击相关的恶意 IP 地址， 这些 IP 地址被标记为参与了 DDoS 攻击、 恶意软件传播等活动。

中国电子商务协会反欺诈系统安全工作委员会发布的安全公告称， 近期出现了一种新型的针对电商平台的钓鱼攻击， 攻击者伪造电商平台的官方邮件， 诱骗用户点击恶意链接， 窃取用户的登录凭证和支付信息。

安全团队评估了这些情报信息的可靠性和相关性，并根据其潜在风险进行了优先级排序：

1. “Silent Starling”黑客组织的攻击情报被标记为 “高危”，需要立即采取防御措施。

2. 与电商平台攻击相关的恶意 IP 地址被标记为 “中危”， 需要进行监控和拦截。

3. 新型钓鱼攻击被标记为“低危”，需要向用户发布安全警示，提醒用户注意防范。

步骤 4：将威胁情报集成到安全工具和流程中

步骤 4目的在于将经过分析和评估的威胁情报，应用到安全工具和流程中，例如配置防火墙规则、更新入侵检测系统签名、调整安全策略等，将被动防御转变为主动防御，提前做好应对准备，提高安全防护的效率和精准性。因为，在情报分析完成后，需要将情报转化为行动，将其应用到实际的安全防御工作中，才能真正发挥威胁情报的价值。这包括将威胁情报集成到安全工具和流程中，例如 SIEM 平台、入侵检测系统 (IDS) 、防火墙等，实现自动化的威胁检测和阻止。

方法：

• 配置安全设备：根据情报信息，配置安全设备的规则，例如将恶意 IP 地址添加到防火墙黑名单中，将恶意软件特征码添加到入侵检测系统中，将钓鱼网站域名添加到 Web 过滤器中等等。

• 更新安全策略：根据情报信息，调整安全策略，例如加强用户身份验证、限制网络访问权限、加密敏感数据等。

• 优化安全流程: 根据情报信息，优化安全运营流程，例如，建立安全事件响应机制，当检测到与情报信息相符的安全事件时，能够快速响应，及时处置。

技巧：

1. 使用自动化工具，例如脚本、API 接口等，将威胁情报自动导入到安全工具中，避免人工操作带来的错误和延迟。

2. 定期测试安全工具的配置， 确保其能够正确拦截恶意流量。

3. 利用安全工具的 API 接口，将情报数据自动导入到安全工具中，例如将恶意 IP 地址列表导入到防火墙，将恶意软件签名导入到杀毒软件等 实现自动化防御。

程序: 建立情报应用流程，明确不同类型情报的应用方式和责任人，并定期评估情报应用的效果，不断优化情报应用策略。

推荐工具:

• 防火墙

• 入侵防御系统 (IPS)

• 安全运营中心 (SOC)平台

• 漏洞扫描器

• 反病毒软件

• ...

范例：

安全团队将分析后的威胁情报应用到以下安全工具和流程中：

• 防火墙：将 Recorded Future 和 AlienVault OTX 平台上发现的恶意 IP 地址添加到防火墙黑名单中，阻止来自这些 IP 地址的访问。

• 入侵防御系统 (IPS) : 将 “Emotet”恶意软件的特征码添加到 IPS 规则库中，拦截所有包含该特征码的网络流量。

• Web 应用防火墙 (WAF) : 针对 SQL 注入、XSS 等攻击手法，更新 WAF 规则库，并加强对用户输入的验证和过滤。

• 安全意识培训：针对新型钓鱼攻击，制作了安全意识培训视频，并通过邮件和内部网站向所有员工发布。提醒员工不要轻易打开来历不明的邮件附件，不要点击可疑链接，并定期更新电脑系统和杀毒软件。

步骤 5：将威胁情报传播给政企内的相关责任方

将威胁情报转化为易于理解的语言和形式，传达给政企内的相关责任方， 例如管理层、业务部门、技术人员等，提高全员的安全意识，并根据不同的目标受众， 提供个性化的安全建议和防御措施。网络安全并非只是安全团队的责任，也需要企业内所有员工的共同参与。将情报信息共享给相关部门和人员，提高全员的安全意识，才能构建全面的安全防御体系。

• 安全公告：定期发布安全公告，通报最新的安全威胁、攻击趋势、安全事件等信息，并提供相应的防御建议。

• 安全培训: 针对不同部门和人员的岗位职责和安全意识水平，开展不同级别的安全培训， 例如，针对管理层，可以进行安全意识和风险管理方面的培训；针对技术人员，可以进行安全技术和操作规范方面的培训；针对普通员工，可以进行安全防范意识和网络安全常识方面的培训。

• 安全会议：定期组织安全会议，讨论安全问题，分享安全经验，并制定安全计划和策略。

技巧:

1. 使用通俗易懂的语言和形式传播情报信息，避免使用专业的技术术语。结合案例分析， 增强情报信息的生动性和可读性。

2. 使用多种传播渠道，例如邮件、内部网站、宣传海报、安全意识培训平台等，扩大情报信息的覆盖范围。

3. 鼓励员工积极参与安全讨论， 并及时反馈安全问题和建议。

4. 使用邮件、内部网站、安全意识培训平台等方式传播情报信息，并根据不同用户的安全意识水平，提供个性化的安全建议。

程序：制定情报发布流程，明确发布内容、发布对象、发布频率等，并对情报信息的传播效果进行评估，不断优化传播策略。

推荐工具:

• 邮件系统

• 内部网站

• 安全意识培训平台

• 视频会议系统

范例：

安全团队根据 “Silent Starling” 黑客组织的攻击情报，制作了一份安全公告，并通过邮件发送给所有员工，提醒员工注意以下事项：

• 警惕可疑邮件，不要轻易打开来历不明的邮件附件，不要点击邮件中的可疑链接。

• 加强密码安全，使用强密码，并定期更换密码。

• 及时更新系统和软件，修复已知的安全漏洞。

同时，安全团队也制作了针对 SQL 注入和 XSS 攻击的安全意识培训视频，并将其上传到内部网站，供员工学习。

步骤 6：持续监控和更新威胁情报来源，  以了解新出现的威胁

网络安全形势瞬息万变，新的攻击手段和恶意软件层出不穷。只有持续监控和更新威胁情报，才能及时了解最新的安全威胁，并根据新的威胁调整防御策略，避免安全防御体系 “落伍”。确保威胁情报的时效性和准确性，及时发现新的威胁，并采取相应的防御措施。

方法:

1. 监控情报来源：定期查看威胁情报平台、开源情报社区、行业信息共享平台等情报来源，关注最新的安全公告、漏洞信息、攻击趋势等。

2. 订阅安全资讯：订阅安全相关的邮件列表、博客、新闻网站等，及时获取最新的安全资讯。

3. 参加安全会议: 参加安全会议，例如 每年网络安全宣传周、各国内大厂商组织的安全会议 等，了解最新的安全研究成果和攻击趋势。

4. 与其他组织交流：与其他组织，例如同行业企业、安全厂商等，进行信息交流，分享威胁情报和安全经验。

技巧：

1. 使用自动化工具监控威胁情报平台和开源社区的更新，并设置关键词提醒， 例如“电商行业”、 “支付安全” 等，及时获取最新情报。

2. 建立威胁情报反馈机制， 鼓励员工及时报告发现的安全事件和可疑行为，将这些信息反馈到威胁情报平台， 帮助其他组织更好地防御攻击。

3. 使用自动化工具监控威胁情报平台和开源社区的更新，并设置关键词提醒， 例如“金融行业”、“银行攻击”等， 及时获取最新情报。

程序：制定情报更新流程，明确更新频率、更新内容、更新责任人等。

推荐工具：

• 威胁情报平台 (TIP)

• 安全运营中心 (SOC )平台

• 开源情报搜索引擎

范例：安全团队使用 Recorded Future 平台的监控功能，设置了针对 “电商平台”、“支付安全”等关键词的提醒，一旦 Recorded Future 收集到与这些关键词相关的情报，就会自动发送邮件通知给安全团队。同时，安全团队也订阅了多个安全博客和新闻网站的订阅源，以便及时获取最新的安全资讯。

总结:

将威胁情报有效地集成到政企安全运营中，是提升安全防御能力的关键。通过识别相关情报来源、收集和分析情报数据、将情报应用于安全工具和流程、传播情报信息以及持续监控和更新情报， 可以将威胁情报转化为行动， 构建更加主动、 灵活和高效的安全防御体系， 有效抵御网络攻击， 保障政企安全。

如果您觉得文章对您有所帮助，还请您关注我！

原文始发于微信公众号（再说安全）：如何将威胁情报集成到政企的安全运营中？