如何利用威胁情报提升网络安全的主动性？

一、威胁情报究竟为何物？

（一）定义解读

威胁情报是一种通过收集、分析相关数据，发掘潜在威胁因素，并对其进行分析预测，依靠相应安全措施提高安全性的技术和方法。它不仅仅是简单的数据罗列，而是基于证据的知识集合，涵盖了如上下文、机制、标示、含义以及能够执行的建议等内容，这些知识都与资产所面临已有的或酝酿中的威胁或危害紧密相关，能够为资产相关主体对威胁或危害的响应或处理决策提供有力的信息支持。

比如说，它可以是详细描述攻击者动机、基础设施、战术和技术的报告，也可以是对特定 IP 地址、域、文件和其他与网络威胁相关人为产物的观察记录。安全分析师们会从多个来源收集原始的安全威胁信息以及与安全相关的信息，像威胁情报订阅源（有的包含已处理或已分析的情报，有的则是原始数据，涵盖常见攻击标识、网络安全新闻、恶意软件特征分析等多方面内容）、信息共享社区（论坛、专业协会等，大家可在其中分享经验和数据）以及内部安全日志（来自如 SIEM、SOAR、EDR 等安全与合规系统以及攻击面管理系统的内部安全数据）等，然后将这些数据关联起来并进行分析，挖掘其中的趋势、模式和关系，深入了解实际或潜在的威胁，最终形成威胁情报。

（二）重要作用

在网络安全方面，威胁情报发挥着极为关键的作用。

首先，它能够预测和识别可能的威胁因素。随着网络环境日益复杂，网络攻击的形式和来源愈发多样且隐蔽，而威胁情报可以整合各方数据资源，提前洞察潜在攻击者的意图、常用的战术技术以及可能瞄准的目标等。例如通过对开源情报（像监控 QQ、论坛、接码平台、暗网内容等获取到的情报）的分析，运营人员可以还原出黑产针对某个业务的完整作案手段，起到提前告警和预防的作用；又或者通过分析闭源情报（监控暗网黑产攻击流量得到的情报，能掌握黑产攻击的接口详细信息、来源、路径等）来精准把控潜在的攻击风险点，让防御方可以未雨绸缪，提前做好应对准备。

其次，威胁情报有助于及时发现潜在威胁。在网络攻击还处于酝酿或者初发阶段时，依据威胁情报中诸如特定的失陷标识（像文件 HASH，IP，域名，程序运行路径，注册表项等）等关键信息，安全团队能够快速察觉异常，不至于等到攻击造成较大破坏后才知晓。例如，当发现与某个新的勒索软件特征关联的团伙曾针对所在行业中的其他企业实施过攻击，就可以通过分析威胁情报，确定自身 IT 基础架构中可能让此团伙有机可乘的特定漏洞，进而及时采取措施。

最后，它能助力采取有效的防范措施。一旦借助威胁情报确定了威胁所在，无论是实时调整访问策略（比如企业拿到情报后，可立马根据情报利用 Java 中的过滤器来限制访问的 IP 频次等），还是拉黑攻击源（直接封禁特定的 IP、地域、设备 ID 等），都可以有条不紊地实施，从而最大限度地降低网络攻击带来的损失，提升整体网络安全防护水平。总之，威胁情报是网络安全防线从被动防守转向主动出击的重要支撑，对于保障网络安全的重要性不言而喻。

二、威胁情报包含哪些类型？

（一）战略情报

战略情报能够提供对威胁形势的整体情况，犹如一张宏观的 “威胁地图”，帮助我们站在较高层面去识别历史趋势、攻击模式以及攻击执行方式等关键要素。例如，通过对过往大量网络攻击案例的梳理分析，总结出某类行业在特定时间段内常遭受的攻击类型及频率变化趋势，像电商行业在促销活动期间容易遭遇流量型攻击，金融行业则更多面临数据窃取类攻击等，这些趋势信息就是战略情报的一部分。

同时，它还能协助我们推测攻击者未来可能的行动方案。以地缘政治因素为例，当某些地区局势紧张时，基于战略情报可预估对应地区相关企业面临的网络攻击风险会上升，攻击者可能会出于政治目的或利益驱动，加大对特定目标的攻击力度，或是采用新的攻击策略。对于企业的高层决策者、安全负责人来说，战略情报是进行战略规划和决策的重要依据，能够让他们知晓整体威胁环境，从而将有限的资源合理投入到最需要的地方，保障组织的网络安全防线建设符合实际面临的威胁情况。

（二）运营情报

运营情报聚焦于定义攻击的性质和目的，为安全团队提供安全事件和攻击者能力等相关信息。比如，当出现一次网络安全事件时，运营情报可以清晰地呈现出这是属于恶意软件入侵、网络钓鱼攻击，还是内部数据泄露等具体的攻击性质，并且明确攻击者此次行动想要达成的目的，是窃取用户信息、破坏系统运行，还是进行勒索等。

它能辅助管理员更敏锐地发现潜在风险，就像是一个敏锐的 “风险探测器”。例如，通过对实时收集到的运营情报进行分析，若发现有异常的网络访问流量频繁指向企业内部核心数据库，且这些访问行为呈现出一些与常见攻击手段相似的特征，管理员就能及时察觉可能存在的潜在攻击风险，进而深入调查。此外，运营情报还能帮助管理员深入了解攻击方法，为后续的事件响应、攻击溯源等工作提供有力支持，使得安全团队可以更高效地应对各类安全事件，保障网络的正常运行。

（三）战术情报

战术情报会非常细致地描述与攻击相关的指标，涵盖攻击者的技术、工具和策略等见解。比如，它会详细指出攻击者在进行网络渗透时所使用的具体工具，像是特定版本的木马程序、具有特殊功能的黑客工具等，以及运用这些工具所采取的技术手段，例如是利用系统漏洞进行远程入侵，还是通过社会工程学手段诱使用户下载恶意文件等，还有相应的攻击策略，像先攻击企业的边缘服务器作为跳板，再逐步深入内部网络等。

这种类型的情报常用于机器对机器的威胁检测，通过将战术情报中的相关指标输入到安全检测系统中，如入侵检测系统（IDS）、安全信息和事件管理系统（SIEM）等，这些系统就能依据设定好的规则和指标自动识别出匹配的潜在威胁行为，实现快速预警。对于安全管理员来说，战术情报如同 “作战指南”，可以帮助他们依据攻击者的具体战术制定出针对性的防御策略，增强网络安全防御能力，有效应对各种潜在的网络攻击。

（四）技术情报

技术情报主要聚焦于提供恶意软件和活动等威胁源的信息。例如，针对一种新出现的勒索软件，技术情报会包含其独特的文件哈希值（HASH）、相关的恶意域名、IP 地址以及它在感染系统后的运行特征等详细内容。这些具体信息对于管理员来说，就像是明确了 “查找目标”，便于他们知晓在检测和分析事件时需要重点关注哪些内容。

当企业怀疑自身网络受到恶意软件威胁时，管理员可以借助技术情报中提供的这些关键指标，通过专业的安全工具在网络环境和系统中进行搜索排查，轻松分析是否存在对应的威胁源，进而快速采取相应的防范和处置措施，如隔离可疑文件、阻断恶意 IP 访问等，最大限度地降低恶意软件可能带来的危害，保障网络安全稳定运行。

三、威胁情报从哪来？

（一）内部来源

组织自身的基础结构蕴含着不少可提取威胁情报的渠道。比如安全信息和事件管理（SIEM）系统，它能记录下网络中诸多的安全相关事件以及相关信息，通过对这些数据的分析，我们可以清晰地了解到系统中是否存在一些反复出现的异常访问情况，或者某些特定操作是否预示着潜在的安全漏洞。

应用程序日志同样不容忽视，它详细记录着应用程序运行过程中的各种操作情况，从中我们可以发现是否有异常的登录尝试、不合规的数据调用等，有助于我们察觉应用程序层面可能存在的安全风险点。

防火墙和 DNS 日志也是重要的情报来源。防火墙日志能展示哪些外部访问被拦截，哪些被允许通过，若出现频繁来自某个 IP 段的异常访问尝试，那很可能是潜在的攻击前奏；DNS 日志则可以反映出域名解析方面是否存在异常，像是否有被劫持或者恶意指向等情况，帮助我们排查网络层面的安全隐患。

此外，过去安全事件的历史数据更是有着极大的参考价值。对以往发生过的安全事件进行复盘，分析事件产生的原因、攻击者所采用的手段等，能够让我们知晓系统中曾经的薄弱环节，进而推断当下以及未来可能再次面临的类似威胁，为提前做好防范措施提供有力依据。这些从内部获取的数据综合起来，能让我们更全面且深入地了解系统的实际情况以及存在的漏洞，为主动应对网络安全威胁奠定基础。

（二）外部来源

外部情报的来源渠道十分丰富。首先是开源情报，像各类博客、新闻报道以及公共阻止列表等。许多专业的安全博客会分享一些最新发现的网络攻击手段、恶意软件的相关情况等，安全从业者们可以从中汲取知识，了解当下网络安全威胁的新趋势；新闻报道往往会曝光一些重大的网络安全事件，通过这些事件我们可以分析出不同行业、不同地区面临的主要安全问题；公共阻止列表则直接告知我们哪些 IP、域名等是存在恶意行为的，便于我们提前进行屏蔽防范。

商业威胁情报软件供应商也是重要的来源之一。这些供应商有着专业的团队，他们会收集、分析海量的网络安全数据，然后整理成较为全面且精准的威胁情报提供给客户，比如会定期推送关于新型网络攻击方式、新兴的恶意软件家族特征等情报，帮助企业及时掌握最新的威胁动态，合理地调整自身的安全防护策略。

再者，企业和开源共享小组同样有着不可忽视的作用。不同的企业在应对网络安全威胁时都会有各自的经验和收集到的数据，通过共享小组进行交流分享，大家可以互通有无，实现情报的共享和整合，进而更全面地了解整个行业甚至跨行业所面临的威胁情况。合理利用这些外部来源，能够让我们站在更宏观的角度去知晓外界的威胁趋势，从而实现主动的安全规划，提前布局网络安全防护措施，变被动防御为主动出击，更好地保障网络安全。

四、怎样利用威胁情报提升网络安全主动性？

（一）收集完整的数据

在当今数字化时代，数据收集是利用威胁情报提升网络安全主动性的基础环节。我们可以从互联网以及其他多种渠道广泛收集数据。例如，利用互联网开源情报，能够收集到诸多有价值的信息，像黑客组织的活动记录、恶意软件样本等。专业的安全团队可以通过监控各类网络论坛、暗网相关板块等，从中梳理出黑客组织近期的攻击目标偏好、常使用的攻击手法等活动记录；还可以从一些安全研究机构分享的恶意软件样本库中获取不同类型恶意软件的样本，分析其代码特征、传播途径等关键信息。这些收集到的数据对于后续的威胁预测和识别起着至关重要的作用，就好比搭建起了一座瞭望塔，能让我们提前看到潜在的 “威胁风暴”，为提前做好防范措施提供有力依据。

（二）分析风险

在收集好数据后，就需要运用威胁情报技术进一步分析风险。基于前面所收集的数据结果，我们可以从中挖掘出易受攻击的区域、系统、应用程序或业务等关键信息。比如，通过分析黑客组织活动记录，发现他们近期频繁针对某类操作系统的特定版本发起攻击，那就意味着使用该操作系统版本的企业系统就属于易受攻击的区域，需要重点关注。又或者从恶意软件样本分析中得知，某些应用程序由于存在特定的代码漏洞，容易被恶意软件入侵，那这个应用程序就是需要着重防护的对象。确定这些风险点后，便可采取相应的安全措施，比如及时为易受攻击的系统打补丁、加强对应应用程序的访问控制等，以此提高整体的网络安全性，让我们的网络安全防线更加稳固。

（三）提高响应速度

在网络安全领域，及时响应网络安全事件有着关键意义。一旦发生安全事件，如果不能快速做出有效应对，很可能会让攻击者进一步扩大战果，造成更严重的损失。所以，制定、测试和维护一个有效且完善的响应计划是十分重要的。在平时，就需要明确各个安全团队成员的职责，规划好不同类型安全事件发生时应采取的具体步骤，并且定期进行模拟测试，确保计划的可行性。当安全事件真正发生时，要依据计划快速采取适当措施应对。例如，若检测到疑似勒索软件入侵，按照响应计划，应第一时间隔离可疑的网络区域，阻止其进一步传播，同时备份重要数据，防止数据被加密破坏，然后迅速组织技术人员对其进行溯源分析，争取在最短时间内消除威胁，恢复网络正常运行。

（四）敏感数据保护

针对机密数据的保护，也是利用威胁情报提升主动性的重要环节。我们可以采取多种安全措施来保障敏感数据的安全。一方面，通过加强访问控制，限制对敏感数据的访问权限，只允许经过授权的人员在特定的情况下访问相应的数据，比如在企业中，只有涉及核心业务且经过多层审批的员工才能查看和操作重要的客户资料等敏感信息。另一方面，运用加密技术保障数据传输和存储安全，在数据传输过程中，采用诸如 SSL/TLS 等加密协议，确保数据在网络中传输时不会被窃取或篡改；在存储时，对敏感数据进行加密存储，即便存储介质被非法获取，没有解密密钥，攻击者也无法获取其中的有效内容，从而最大程度地保护敏感数据的安全。

（五）威胁搜寻

威胁搜寻是一种能够有效预防网络事件的主动方法。安全团队可以在威胁情报的指引下，积极主动地搜索系统。通过关联各种数据，比如系统日志、网络流量数据以及威胁情报平台提供的各类指标等，来识别威胁迹象。例如，将系统中异常的登录行为、不合规的数据访问操作与已知的恶意 IP 地址、可疑的域名等威胁情报进行关联分析，如果发现存在匹配情况，那就很可能意味着存在潜在的攻击威胁。而且，现在很多先进的安全工具可以实现自动执行威胁搜寻过程，依据预设的规则和算法，快速分析大量的数据，帮助安全团队做出明智决策。

原文始发于微信公众号（信息安全动态）：如何利用威胁情报提升网络安全的主动性？