威脅情報(bào)是指企業(yè)組織可能面臨的潛在攻擊以及如何檢測(cè)和阻止這些攻擊行為的信息。威脅情報(bào)可以幫助企業(yè)或組織快速地了解到敵對(duì)方對(duì)自己的威脅信息，從而提前做好威脅防范，并更高效地進(jìn)行攻擊檢測(cè)與響應(yīng)。

　　在實(shí)際應(yīng)用中，研究機(jī)構(gòu)Gartner將威脅情報(bào)分為了以下三類：戰(zhàn)略威脅情報(bào)、戰(zhàn)術(shù)威脅情報(bào)和運(yùn)營(yíng)威脅情報(bào)?；谶@種分類，每個(gè)安全運(yùn)營(yíng)團(tuán)隊(duì)和運(yùn)維人員可以根據(jù)需要選擇最相關(guān)的情報(bào)信息，更有效地進(jìn)行風(fēng)險(xiǎn)識(shí)別和防范，并了解攻擊者的作案動(dòng)機(jī)。本文將對(duì)其中的運(yùn)營(yíng)威脅情報(bào)相關(guān)概念、獲取方式、應(yīng)用價(jià)值等進(jìn)行重點(diǎn)介紹。

　　01 什么是運(yùn)營(yíng)威脅情報(bào)？

　　運(yùn)營(yíng)威脅情報(bào)主要描述攻擊者使用的戰(zhàn)術(shù)、技術(shù)和程序 （TTP），可以為安全分析師提供安全事件的背景，重點(diǎn)關(guān)注惡意軟件、木馬和網(wǎng)絡(luò)釣魚等攻擊是如何執(zhí)行的，攻擊的足跡是什么，以及攻擊過(guò)程中的哪些環(huán)節(jié)受到了影響等，使防御者對(duì)網(wǎng)絡(luò)犯罪分子的作案手法有準(zhǔn)確而深刻的認(rèn)知，并尋找尚未被發(fā)現(xiàn)的惡意行為，從而加快對(duì)可疑行為的調(diào)查。

　　由于運(yùn)營(yíng)威脅情報(bào)可以深入了解所涉及攻擊者（團(tuán)體）的起源和組織結(jié)構(gòu)，并幫助響應(yīng)者理解特定攻擊的類型、意圖和時(shí)間框架，目前已經(jīng)成為保障企業(yè)網(wǎng)絡(luò)安全彈性的關(guān)鍵工具。高質(zhì)量的運(yùn)營(yíng)威脅情報(bào)甚至能夠讓防御者有機(jī)會(huì)提前實(shí)施控制措施并挫敗攻擊，這也使其在許多方面成為網(wǎng)絡(luò)安全實(shí)踐的黃金標(biāo)準(zhǔn)。即便是并不完整的運(yùn)營(yíng)威脅情報(bào)也可能為即將發(fā)生的攻擊提供重要線索，例如，在攻擊被利用之前找出潛在的資產(chǎn)暴露面和攻擊途徑。

　　運(yùn)營(yíng)威脅情報(bào)一般包括以下內(nèi)容：

　　特定威脅分組資源（后門家族、共享基礎(chǔ)設(shè)施）；

　　與特定危險(xiǎn)組相關(guān)的TTP（標(biāo)準(zhǔn)文件名、端口、臨時(shí)目錄、協(xié)議、首選文件類型等）；

　　未來(lái)可能會(huì)出現(xiàn)的TTP（包含持久性、可利用性和網(wǎng)絡(luò)釣魚等的新攻擊策略）。

　　從事件響應(yīng)的角度來(lái)看，如果企業(yè)正在處理一起入侵事件，就需要全面了解攻擊者如何進(jìn)行數(shù)據(jù)盜竊、橫向移動(dòng)或特權(quán)升級(jí)等攻擊行為，并通過(guò)查找某些行為來(lái)搜索未知但可能會(huì)發(fā)生的惡意活動(dòng)。各類網(wǎng)絡(luò)安全專家，例如應(yīng)急響應(yīng)人員、惡意軟件分析人員、網(wǎng)絡(luò)防御團(tuán)隊(duì)、安全管理者、行動(dòng)執(zhí)行者等都可以使用運(yùn)營(yíng)威脅情報(bào)。運(yùn)營(yíng)威脅情報(bào)威脅識(shí)別并非只限于內(nèi)部運(yùn)營(yíng)環(huán)節(jié)，與客戶、友商、合作伙伴、分支機(jī)構(gòu)相關(guān)的安全缺陷也都需要被審查記錄。

　　02 運(yùn)營(yíng)威脅情報(bào)如何獲取？

　　由于運(yùn)營(yíng)威脅情報(bào)與特定的威脅策略相關(guān)，所以獲得運(yùn)營(yíng)威脅情報(bào)的方法有兩種：

　　可通過(guò)招募或策反的方式，在活躍的威脅團(tuán)體中培養(yǎng)情報(bào)線人；

　　通過(guò)滲透和監(jiān)視等技術(shù)手段，截取威脅團(tuán)體間的通信。

　　總的來(lái)說(shuō)，運(yùn)營(yíng)威脅情報(bào)最有可能從封閉渠道收集。雖然一些不太成熟的威脅組織滿足于通過(guò)相對(duì)開(kāi)放性的渠道來(lái)討論他們的戰(zhàn)略，但更嚴(yán)謹(jǐn)?shù)姆缸锘顒?dòng)更有可能采取隱蔽措施。這就引出了一個(gè)重要的問(wèn)題：由于運(yùn)營(yíng)威脅情報(bào)涉及特定人員和群體的行動(dòng)和通信，因此收集這些情報(bào)會(huì)引發(fā)一些法律和倫理方面的爭(zhēng)議。

　　運(yùn)營(yíng)威脅情報(bào)是一種全面的信息數(shù)據(jù)集，它提供解決安全威脅所需的各種信息。因此，運(yùn)營(yíng)威脅情報(bào)的采集是個(gè)系統(tǒng)化的過(guò)程，從規(guī)劃開(kāi)始到評(píng)估數(shù)據(jù)的可用性，整個(gè)收集過(guò)程包含了多個(gè)階段。

　　1、需求研究

　　在開(kāi)始尋找足數(shù)據(jù)之前，企業(yè)必須清楚地了解自己需要了解什么。研究人員應(yīng)該知道誰(shuí)會(huì)使用這些知識(shí)以及為什么。網(wǎng)絡(luò)威脅情報(bào)應(yīng)該與公司或行業(yè)相關(guān)，并清楚地說(shuō)明它將如何提供幫助。此外，還應(yīng)該考慮使用者的具體需求特點(diǎn)（技術(shù)專家、董事會(huì)成員或首席執(zhí)行官等）。

　　2、數(shù)據(jù)收集

　　運(yùn)營(yíng)威脅情報(bào)的數(shù)據(jù)收集工作需要在企業(yè)內(nèi)部和外部同時(shí)開(kāi)展。通過(guò)各種安全設(shè)備的日志數(shù)據(jù)，可以采集到完善的內(nèi)部數(shù)據(jù)，同時(shí)，還應(yīng)該通過(guò)公開(kāi)的安全技術(shù)論壇、開(kāi)發(fā)者社區(qū)和事件公告等，獲取更廣泛的外部信息。

　　3、數(shù)據(jù)處理

　　在以較原始的形式（惡意IP和域、未編譯代碼、個(gè)人信息等）收集到大量數(shù)據(jù)后，需要通過(guò)過(guò)濾清洗，提升數(shù)據(jù)的準(zhǔn)確性和可用性，包括使用相關(guān)信息更新元標(biāo)記（meta tag），刪除那些無(wú)用或者已經(jīng)過(guò)時(shí)的低價(jià)值信息。目前，這項(xiàng)工作大多通過(guò)人工智能和機(jī)器學(xué)習(xí)來(lái)自動(dòng)化完成。

　　4、分析評(píng)估

　　在對(duì)原始數(shù)據(jù)進(jìn)行處理并剔除不相關(guān)信息后，就可以對(duì)數(shù)據(jù)進(jìn)行評(píng)估和關(guān)聯(lián)，以發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)。在將信息發(fā)送給關(guān)聯(lián)部門之前，應(yīng)該將其結(jié)構(gòu)化處理，這樣更加易于理解。

　　5、分發(fā)與反饋

　　在此階段，主要將收集到的行動(dòng)情報(bào)，按照應(yīng)用相關(guān)性分發(fā)給不同的應(yīng)用者和分析師。為了更好的優(yōu)化未來(lái)的數(shù)據(jù)收集質(zhì)量，應(yīng)該對(duì)情報(bào)的利用率及準(zhǔn)確性進(jìn)行評(píng)價(jià)和反饋。為了評(píng)估情報(bào)是否真正發(fā)揮作用，需要從請(qǐng)求情報(bào)的用戶獲得準(zhǔn)確的應(yīng)用效果反饋。

　　03 運(yùn)營(yíng)威脅情報(bào)的挑戰(zhàn)

　　在收集和分析運(yùn)營(yíng)威脅情報(bào)的過(guò)程中，威脅分析人員可能會(huì)遇到以下挑戰(zhàn)：

　　通信數(shù)據(jù)獲?。憾鄶?shù)威脅組織在討論他們的計(jì)劃時(shí)都會(huì)采取一些預(yù)防措施，并盡最大努力保持隱蔽。不僅要考慮倫理和法律方面的影響，還有技術(shù)手段方面的局限。在許多情況下，想要獲取一個(gè)群體的內(nèi)部通信數(shù)據(jù)會(huì)非常困難；

　　語(yǔ)言：威脅群體會(huì)位于不同的國(guó)家和地區(qū)，通常會(huì)使用母語(yǔ)進(jìn)行交流。盡管可以通過(guò)使用自然語(yǔ)言處理（NLP）引擎來(lái)克服這一障礙，但這仍會(huì)增加發(fā)掘運(yùn)營(yíng)威脅情報(bào)的成本和難度；

　　干擾信息：通過(guò)自動(dòng)化技術(shù)監(jiān)測(cè)常見(jiàn)的運(yùn)營(yíng)威脅情報(bào)來(lái)源（如討論群和開(kāi)源社區(qū)）時(shí)干擾信息太多，人工監(jiān)控又并不顯示，這時(shí)就需要通過(guò)威脅情報(bào)分析技術(shù)手段來(lái)應(yīng)對(duì)這一障礙；

　　混淆戰(zhàn)術(shù)：許多威脅組織正不遺余力地隱藏他們的意圖。常見(jiàn)的混淆策略包括使用專用代碼來(lái)代替目標(biāo)名稱和/或攻擊類型，以及定期更改個(gè)人代號(hào)等。

　　運(yùn)營(yíng)威脅情報(bào)收集并非一個(gè)簡(jiǎn)單的過(guò)程。它可能需要一段時(shí)間，也需要大量的專業(yè)技能和技術(shù)理解來(lái)支持。為了正確地收集足夠數(shù)量的數(shù)據(jù)，機(jī)器學(xué)習(xí)技術(shù)的應(yīng)用是非常必要的。

　　04 運(yùn)營(yíng)威脅情報(bào)的價(jià)值

　　運(yùn)營(yíng)威脅情報(bào)是通過(guò)研究以往攻擊的具體情況而獲得的信息。分析人員可以通過(guò)關(guān)聯(lián)多個(gè)戰(zhàn)術(shù)指標(biāo)和數(shù)據(jù)來(lái)構(gòu)建有關(guān)威脅行為者攻擊方式的完整視圖，并將其衍生為運(yùn)營(yíng)威脅情報(bào)。這有助于：

　　為安全人員提供他們需要的事件背景信息，通過(guò)增強(qiáng)安全事件和已識(shí)別的IOC（入侵指標(biāo)）通知，來(lái)做出更準(zhǔn)確的安全判斷；

　　改進(jìn)事件響應(yīng)策略和緩解方法，為即將到來(lái)的網(wǎng)絡(luò)攻擊和入侵做好準(zhǔn)備；

　　尋找規(guī)避傳統(tǒng)安全措施的可疑文件和活動(dòng)，建立并加強(qiáng)主動(dòng)發(fā)現(xiàn)過(guò)程（“狩獵計(jì)劃”）；

　　根據(jù)在野攻擊者的方法，采用實(shí)用的紅隊(duì)策略；

　　分析惡意軟件家族和參與者，以識(shí)別對(duì)企業(yè)、行業(yè)、地區(qū)或國(guó)家的高風(fēng)險(xiǎn)威脅；

　　創(chuàng)建獨(dú)立于IOC的檢測(cè)技術(shù)，以更快的方式提供更廣泛的威脅覆蓋范圍。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<