什麼是威脅情報?

威脅情報是有關潛在攻擊的資訊。威脅情報可幫助組織採取動作保護自己免受這些攻擊。

學習目標

閱讀本文後,您將能夠:

  • 定義「威脅情報」
  • 列出網路威脅情報的主要類型
  • 瞭解威脅情報摘要

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是網路安全中的威脅情報?

威脅情報是有關組織可能面臨的潛在攻擊以及如何偵測和阻止這些攻擊的資訊。執法部門有時會分發帶有嫌疑人資訊的「通緝」海報;同樣,網路威脅情報包含有關當前威脅是什麼樣子以及它們來自何處的資訊。

在數位安全詞彙中,「威脅」是一種惡意行為,可能導致資料在未經許可的情況下被盜、遺失或更改。該詞彙指的是潛在的和實際的攻擊。威脅情報使組織能夠針對威脅採取動作,而不僅僅是提供資料。每一條威脅情報都有助於偵測和預防攻擊。

某些類型的威脅情報可以輸入防火牆Web 應用程式防火牆 (WAF)、安全性資訊與事件管理 (SIEM) 系統以及其他安全產品,使它們能夠更有效地識別和封鎖威脅。其他類型的威脅情報更為通用,可幫助組織做出更大的戰略決策。

威脅情報有哪三種主要類型?

大多數威脅情報符合以下三類中的一類:

  1. 戰略情報描述整體趨勢和長期問題。它還可以包括已知攻擊者的動機、目標和方法。
  2. 運作情報描述攻擊者使用的戰術、技術和程序 (TTP)——例如,攻擊者使用哪些惡意程式碼工具包或漏洞工具包,他們的攻擊來自哪裡,或他們通常遵循哪些步驟來發動攻擊。
  3. 戰術情報是有關威脅的具體實地細節;它讓組織能夠具體識別威脅。惡意程式碼簽章和入侵指標 (IoC) 是戰術情報的範例。這兩個詞彙將在下文中進行進一步解釋。

什麼是惡意程式碼簽章?

簽章是可以識別惡意程式碼的獨特模式或位元組序列。與指紋用於識別犯罪嫌疑人的方式相同,簽章有助於識別惡意軟體。

簽章偵測是最常見的惡意程式碼分析形式之一。為了有效,簽章偵測需要不斷更新最新的惡意程式碼簽章。

什麼是入侵指標 (IoC)?

入侵指標 (IoC) 是有助於識別攻擊是否已經發生或正在進行的資料。IoC 就像一件物證,偵探可能會收集它以確定誰在犯罪現場。同樣,某些數位證據(記錄中記錄的異常活動、前往未經授權伺服器的網路流量等)可幫助管理員確定攻擊何時發生(或當前正在發生)以及攻擊的類型。

如果沒有 IoC,有時可能很難確定是否發生了攻擊;保持不被發現通常有利於攻擊者(例如,如果他們想在殭屍網路中使用遭入侵的裝置)。

什麼是威脅情報摘要?

威脅情報摘要是威脅情報資料的外部串流。與部落格的 RSS 摘要一樣,組織可以訂閱威脅情報摘要,為其系統提供持續的安全更新。

一些威脅情報摘要是免費的;其他則需要花錢,而且會提供從開放來源無法獲得的專有情報。

Cloudflare 收集威脅情報的方法有何獨特之處?

Cloudflare 具有獨特的優勢,可以大規模收集有關威脅的資訊。數百萬個網站受到 Cloudflare 網路的保護。透過分析進出這些網站的流量,Cloudflare 可以識別來自機器人、漏洞利用和其他攻擊的惡意流量模式。

Cloudflare 使用此資訊來更好地保護客戶。例如,Cloudflare 建立 WAF 規則並在偵測到新威脅時為所有 WAF 客戶部署它們。Cloudflare 傀儡程式管理使用從 Cloudflare 每天所見的數十億個請求中獲得的威脅情報來學習識別惡意機器人。

要瞭解有關網路威脅的更多資訊,請參閱什麼是 Web 應用程式安全?