什么是威胁情报？

威胁情报整合了来自内外部各类来源的数据，以了解企业当前以及潜在的网络安全风险，并强化防御策略。成功的威胁情报计划可以对威胁信息进行三角分析，根据业务风险对威胁进行筛选和优先排序，并将结果反馈至内部系统和安全控件。威胁情报是成熟网络安全计划的关键组成部分。

网络威胁情报可以揭示组织当前以及潜在的威胁。通过了解对手的战术、技术和程序，组织可以在安全事件发生前、发生过程中以及发生后更高效应对威胁。

威胁情报计划可以帮助组织就如何解决漏洞、执行测试策略、制定事件响应计划以及在发生事件时确保业务连续性做出更有效的决策。威胁情报团队与网络风险团队和安全团队合作。

威胁情报系统是针对网络安全数据进行收集、分析并生成见解的中央枢纽。这些系统有助于跟踪安全事件，确定存在的威胁攻击者类型，并向安全团队提供应对指导。它们通常会利用网络威胁情报（CTI），即有助于为系统提供上下文信息的内外部数据来源的集合。

威胁情报系统是整体安全软件解决方案的一部分。AWS Security Hub 等解决方案往往会整合威胁情报生命周期活动，以实现集中管理。

威胁情报生命周期是一个持续的过程，需要定期更新和审查。

以下是威胁情报生命周期的主要阶段。

界定环境范围

在部署威胁情报计划之前，组织必须定义其系统、数据、网络、服务、用户和其他组织资产。组织应根据运营关键程度和数据敏感度对组织资产进行分类。通过了解组织环境的范围，可以了解哪些威胁与业务相关，哪些资产更容易成为攻击目标。

收集威胁数据

完成范围界定后，网络威胁情报生命周期的下一步是将多个数据来源归集为集中的可信来源。威胁情报系统会摄取内部安全数据、系统报告，以及外部来源，如实时开源威胁源、厂商发布的威胁源、漏洞数据库，以及社交媒体和暗网监控。

该阶段的目标是捕获尽可能多的威胁数据，以获取全面的信息。此阶段的数据摄取是高度自动化的、持续的，且未根据业务范围对数据进行筛选。

数据处理

数据整理完成后，组织需对数据进行筛选、结构化处理、标准化、信息补充和转换，使其具备实用价值。非结构化数据会被转换为机器可读格式，结构化数据则会经过清洗以提升质量，并添加元数据标签。冗余和超出范围的数据将被移除。这一处理过程应尽可能自动化。

分析

分析阶段会将威胁情报数据转化为可供企业执行的见解。自动化系统将开始识别已处理数据中的规律和关系，查找可供安全团队深入调查的异常、差异或结果。

在此阶段，数据分析师可以运用多种先进技术（如机器学习、预测建模）来梳理和标定特定威胁指标。这些流程涵盖手动和自动模式，旨在为安全团队提供相关且有用的见解，为网络安全防御策略提供信息。

报告

报告阶段将向业务利益相关者和相关团队提供威胁情报分析的结果。报告是针对受众量身定制的，可能包括精简的控制面板、文本文件、演示文稿或其他沟通形式。

报告阶段通常是自动化的，由威胁情报系统生成报告并分发给所有必要人员。当出现更大的安全威胁时，可能会触发手动报告需求。

团队还可以向更广泛的社区报告新的和未知的威胁，以便其他组织可以将这些信息整合到自己的系统中。

监控和调整

威胁情报系统可以监控潜在安全问题，跟踪 IOC，以及帮助支持安全团队。威胁情报系统是全天候有人值守的安全运营中心（SOC）中的关键软件。

在分析阶段，团队可以跟踪与潜在安全事件相关的入侵指标（IOC），以制定事件响应计划和行动手册、部署新的或调整后的安全控制措施，更改系统架构并更新业务风险。这种基于情报的响应可以确保公司的安全态势始终处于稳定状态。

团队必须从突发安全事件和新信息中总结经验，然后迭代和优化自身的安全防护能力。安全团队可对安全工具的性能进行审查，评价响应情况，标记不一致之处，以帮助威胁情报软件持续完善。

网络威胁情报计划的功能取决于企业环境的复杂程度、敏感数据要求和合规义务。以下是威胁情报计划的一些常见功能。

数据源

数据源是指威胁情报平台赖以提供见解的所有信息来源。这些威胁情报服务是威胁情报计划的核心组成部分。

外部数据来源包括实时开源情报（OSINT）、公共威胁源和政府网络安全机构提供的信息。内部数据来源包括防火墙日志、用户访问行为、入侵检测系统（IDS）警报、端点日志和云服务遥测。

技术

威胁情报利用多项协同作用的技术来提供数据、分析信息，并为安全团队提供切实可行的见解。例如，一些威胁情报软件有助于摄取和组织数据，并在安全团队需要采取行动时直接与其共享见解。

分析技术对于发现数据中有助于预警潜在安全事件的规律和异常至关重要。网络威胁情报的分析能力是指团队能够用来提高数据的清晰度、精确度和深度的所有技术。其中包括机器学习分析、预测算法和行为分析。

安全信息和事件管理（SIEM）系统会将内部安全日志数据与事件信息关联，以实时分析新出现的威胁对您的业务产生的影响。一些公司还在其产品中嵌入了应用内警告，这可以在开发人员处理某些方面的问题时，为其提供有关潜在错误的更多背景信息。

框架

内置威胁情报能力的框架为组织提供了可遵循的标准化结构。这些框架受到高度重视，并且会定期更新，以便为组织提供描述性和规范性指导。以威胁情报为重点的网络安全框架包括 MITRE ATT&CK 框架和网络杀伤链。这两个框架都包括处理战术、标准向量和 IOC 的方法。

活动

网络威胁情报系统参与多项活动，以生成见解并提升自身能力。例如，这些系统可以进行实时风险评估，使用更新来修补已知漏洞，通过反馈来响应事件，以及让网络安全专家深入了解他们应该优先处理哪些事件。

安全专业人员常用的网络威胁情报主要包括四类。

战略威胁情报

战略威胁情报是指系统收集的宏观威胁态势信息，涵盖地缘政治数据、经济数据等非技术性情报，可用于建立潜在安全事件的背景概况。这类非技术性的战略威胁情报有助于了解更广泛的安全漏洞及其发展趋势。

战术威胁情报

战术威胁情报是指收集与对手战术、技术和程序（TTP）相关的信息，包括高级持续威胁（APT）所采用的 TTP。行业范围内的情报数据会通过公共安全源共享。这些信息能帮助安全专业人员了解特定攻击的典型行为、使用的向量，以及给定安全事件中所发生操作的顺序。

技术威胁情报

技术威胁情报指由机器识别的各类入侵迹象。这些入侵指标（IOC）— 如出现恶意 IP 地址、异常安全 URL、防火墙响应或系统预期运行值的突然变化等，将被标记出来，供团队进一步调查。

运营威胁情报

运营威胁情报是融合战术与技术情报的复合型情报。这种形式的情报将提供对行业范围知识的见解，例如某种勒索软件或恶意软件在特定公司或地区的感染率呈何种上升趋势。借助运营威胁情报，公司能够提前采取措施，规避潜在安全事件的发生。

AWS 云安全通过专门的威胁情报集成、自动化和可视化功能来帮助保护您的云环境。AWS 云安全可以帮助用户识别潜在风险、通过采取数据防护措施来保护基础设施、监控安全态势以发现异常事件，甚至直接响应事件。

AWS Security Hub 会优先处理您的关键安全问题，并帮助您大规模作出响应，以保护您的环境。该服务提供威胁情报，通过关联信号并将其丰富为切实可行的见解来检测关键问题，从而简化响应过程。

立即创建免费账户，开始在 AWS 上使用威胁情报。