威胁情报
本文约需 2 分钟阅读
威胁情报是指系统地收集和分析有关网络攻击的信息,并将其应用于组织防御的活动。通过将攻击者手法 (TTP: Tactics, Techniques, and Procedures)、恶意软件的哈希值、恶意 IP 地址等 IoC (Indicator of Compromise) 反映到SIEM 和防火墙中,可以自动阻断已知威胁。截至 2025 年,随着滥用生成式 AI 的高级钓鱼和深度伪造攻击不断增加,威胁情报的重要性进一步提升。
现场使用案例
“在同行企业遭受勒索软件攻击的第二天,我们从威胁情报源获取了攻击所使用的 C2 服务器 IP 地址以及钓鱼邮件的主题模式,并立即反映到自家的防火墙和邮件过滤器中。结果是我们能够提前阻断来自同一攻击团伙的入侵尝试。”
威胁情报循环
三个层级
威胁情报分为战略级、战术级和运营级三个层级。战略情报面向管理层,提供整个行业的威胁趋势和风险评估。战术情报分析攻击者的 TTP,用于改进SOC 团队的检测规则。运营情报将具体的 IoC (IP 地址、域名、文件哈希) 输入安全设备,直接关系到实时防御。威胁情报入门书 (Amazon)可以系统地学习。
应用场景
例如,当同行企业遭受勒索软件攻击时,你可以从威胁情报源获取攻击所用 C2 服务器的 IP 地址和钓鱼邮件的主题模式,从而提前布防。利用 MITRE ATT&CK 框架映射攻击者的行为模式,并可视化自家检测覆盖的缺口,这种方法也很有效。对于供应链攻击的早期预警,威胁情报同样不可或缺。
引入要点
威胁情报若只是“收集”就毫无意义。重要的是这样一个流程:根据自家环境对收集到的信息排定优先级,并将其落实为具体行动 (添加规则、应用补丁、发布警示)。用强随机密码保护对情报平台的访问,防止信息泄露。威胁分析书籍 (Amazon)也很有参考价值。
这篇文章对您有帮助吗?