什麼是威脅情報摘要?

威脅情報摘要是外部資料串流,可協助安全團隊識別威脅。

學習目標

閱讀本文後,您將能夠:

  • 描述威脅情報摘要中包含的資訊種類
  • 討論使用威脅情報摘要的優勢
  • 瞭解威脅情報的來源

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是威脅情報摘要?

威脅情報摘要是一串有關來自外部來源之潛在攻擊 (稱為"威脅情報") 的資料串流。 組織可以使用威脅情報摘要來保持安全防禦的最新狀態,並準備好面對最新攻擊。

新聞網站上的新聞提要或社交媒體平台上的 Feed 都會顯示持續更新:新內容,新聞片段,對開發故事的變化等等。 同樣地,威脅情報摘要也是持續更新的威脅資料來源:入侵 指標 (IoC)、可疑 網域、已知的 惡意程式 碼特徵等。

威脅情報摘要也可以與軍事偵察進行比較。 軍隊可能會使用有關敵軍正在做什麼的信息來做出有關設置防禦的決定。 同樣地,威脅情報摘要可協助安全團隊為目前和未來的網路攻擊做好準備。

某些威脅情報摘要是機器可讀取的;安全性資訊和事件管理 (SIEM) 系統和其他安全工具可直接使用這些摘要。 其他人則供人食用,使安全團隊能夠採取行動並做出決策。

許多威脅情報摘要都是免費且開放原始碼的,以促進廣泛的威脅預防。 某些威脅情報摘要是專有的,僅供付費客戶使用。

什麼是網絡威脅?

"威脅"可以被定義為可能導致未經許可而導致數據被盜,丟失,移動或更改的操作。 該術語可以指可能的動作和實際動作。

如果查克偷了愛麗絲的電子郵件密碼並接管了她的收件箱,但還沒有對鮑勃這樣做,Chuck 仍然對鮑勃構成威脅。 愛麗絲可能想讓鮑勃知道查克做了什麼,這樣鮑勃就可以採取行動保護自己免受查克。 愛麗絲給了鮑勃一種簡單的威脅情報形式:留意"查克!"

但是要對安全工具和團隊有用,威脅情報必須比單純的"注意 Chuck 更詳細。" 有關潛在外部威脅的情報可以採取多種形式。

  • 策略,技術和程序(TTP):TTP 是攻擊行為的詳細描述。
  • 惡意程式碼簽章:簽章 是可識別檔案的唯一病毒碼或位元組序列。 安全性工具可以尋找含有符合已知惡意程式碼之簽章的檔案。
  • 入侵指標(IoC): 這些數據可幫助識別是否發生攻擊或正在進行中。
  • 可疑的 IP 位址和網域: 網路上的所有流量都來自某個地方。 如果觀察到攻擊來自特定網域或 IP 位址,則防 火牆 可以封鎖來自此來源的流量,以防止未來可能發生的攻擊。

摘要中的威脅情報來自哪裡?

威脅情報摘要中的資訊可能來自一系列來源,包括:

  • 互聯網流量分析以進行攻擊和數據洩露
  • 安全專業人員的深入研究
  • 使用啟發式分析、沙箱技術或其他惡意軟體偵測進行直接的惡意程式分析
  • 在安全性社群中共用廣泛可用的開放原始碼資料
  • 進行 Web 爬行以識別攻擊和攻擊基礎架構(例如,Cloud Email Security 使用該技術的一種形式來提前識別網路釣魚攻擊
  • 來自安全公司客戶的彙總分析和遙測資料

威脅情報摘要供應商會編譯此資訊,將資訊新增至其摘要,然後分發資訊。

為什麼要使用威脅情報摘要?

最新信息: 網絡犯罪分子希望他們的攻擊成功。 出於這個原因,他們不斷改變和擴大他們的戰術,以擺脫防禦。 設置為阻止去年攻擊的組織可能會受到今年的攻擊策略的影響。 因此,安全團隊希望獲得最新的數據,以便通知他們的防禦措施並確保他們可以阻止最新的攻擊。

更廣泛的資訊: 威脅情報摘要提供廣泛的資料。 回到我們的例子中,鮑勃過去可能阻止 Chuck 竊取他的電子郵件收件箱,但是如果愛麗絲通知他查克的最新攻擊,那麼 Bob 知道如何阻止他之前面臨的攻擊和針對愛麗絲的攻擊。 同樣地,威脅情報可讓組織減輕更多種類的威脅。

更高的效率: 從外部來源獲取威脅情報可讓安全團隊投入更多時間來阻止攻擊,而不是收集數據。 安全專業人員可以做出決策並部署緩和措施,而不是收集做出這些決策所需的資訊。 像 WAF 這樣的安全工具可以在實際面對攻擊之前學習識別攻擊。

威脅情報摘要如何使用 STIX/TAXII?

STIX 和 TAXII 是共用威脅情報的兩種標準。 STIX 是一種格式化威脅情報的語法,而 TAXII 則是散佈此資料 (如 HTTP) 的標準化 通訊協定許多威脅情報摘要都使用 STIX/TAXII 來確保其資料可以被各種安全工具廣泛解讀和使用。

Cloudflare 如何分發其威脅情報饋送?

Cloudflare 可以保護全球大部分網站(每秒處理一百 60 萬個 HTTP 請求),使 Cloudflare 能夠分析有關網絡流量和攻擊模式的大量數據。 這些資料會轉換為完成、可行的威脅情報,並隨時可以擷取到安全工具中 (透過 STIX/TAXII)。

Cloudflare 透過其雲力一服務提供此威脅情報摘要。 Cloudforce One 由經驗豐富的研究團隊領導,破壞了世界各地的網絡攻擊者。 進一步瞭解雲力一號