【翻译】威胁情报是如何工作的？

作者：伊万-普莱斯-埃文斯 1月24日，2022年

Iwan Price-Evans最初在Snapt的博客上发表的客座文章

软件和网络行业对安全和智能处理安全威胁的能力谈得很多。在安全性质越来越复杂的情况下，那些在生产中运行网站、应用程序和API的人对他们的组织所面临的威胁以及如何最好地减轻这些威胁的可见性非常重要。

威胁情报可以帮助实现这一目标，但它是如何工作的，安全团队应如何将威胁情报解决方案整合到他们的工具链中？

什么是威胁情报？

首先，也许最好解读一下什么是威胁情报以及它是如何影响你的。

威胁情报是对当前和预测性安全数据的收集、处理、分析和传播，使安全团队、开发人员和自动化工具能够做出智能决策，以保障其基础设施、数据和用户的安全。

这种安全信息越来越重要--不仅是在对抗主动安全威胁方面，而且鉴于被破坏的数据和核心基础设施将对声誉和底线产生的影响，在保卫组织的财务安全方面也是如此。

将威胁情报打包到与安全自动化工具、开发人员管道和事件响应工作流程相整合的智能平台中的解决方案，可以帮助企业了解威胁状况，并在威胁出现时或出现之前进行反击。

威胁情报的四个步骤

在一个复杂的全球系统中识别和交流安全威胁并不是一件容易的事。为了掌握自动化和简化这一过程的解决方案的价值，了解产生成功的威胁情报的不同步骤很重要。

1.1.收集

威胁情报始于原始数据：越多越好。威胁数据必须从广泛的来源收集，包括内部和外部日志，公共或开源信息，以及来自第一方或第三方的专有数据。

例如，Snapt的NovaSense威胁情报平台使用独特的威胁数据，这些数据来自Snapt自己在世界各地实时环境中使用的网络应用防火墙。

有用的威胁数据包括IP地址、域名和文件哈希值，但它也可以包括漏洞信息，如客户的个人身份信息、粘贴网站的原始代码以及来自新闻来源或社交媒体的文本。

这些信息代表了技术和非技术信息的集合，以及一般信息和公司特定数据。

不同的威胁数据必须被收集到一个集中的存储库中进行处理。

2.2.处理

随着所有原始数据的收集，必须对其进行持续的处理，以使其更容易被分析。

处理包括分类，用元数据标签组织，并过滤掉多余的信息或假阳性和假阴性。

不过，在这个阶段最重要的是快速和可靠地处理数据的能力，以确保信息和分析可以快速提供。

大型组织所遇到的威胁的数量和复杂性每天都会产生数百万行的数据。一个及时的分析取决于数据处理步骤的简化和加速。

3.3.分析

威胁情报为任何组织的许多不同受众服务，从设计弹性软件的开发团队，到配置应用防火墙的网络和系统管理员，再到负责清除滥用主机的平台滥用响应团队。分析步骤必须产生各种分析结果，以满足每个受众的需求。

比如说。

• 开发团队从显示针对其行业或其应用程序运行的操作系统的新兴威胁趋势的分析中受益。
• 网络和系统管理员受益于按IP地址和风险识别活跃威胁的分析，以实现自动阻止列表。
• 平台滥用响应团队从分析中受益，他们可以通过滥用类型（如恶意软件、垃圾邮件、网络犯罪、僵尸网络）识别使用其平台基础设施的滥用主机。

分析威胁数据需要高性能的模式识别、分流和预测性分析。因此，威胁情报解决方案极大地受益于机器学习在其分析中的应用。

4.4. 传播

威胁情报只有在被传播和采取行动时才有用。换句话说，它必须在正确的时间，以他们能够理解和使用的方式，到达正确的人或系统。

这首先要确定威胁情报的正确接收者。谁需要知道？哪些系统需要被整合？例如，一个组织可能会将其网络应用程序防火墙（WAF）或安全事件管理（SIEM）平台确定为所需的接收者，以使其安全响应自动化并预先阻止已知威胁。

接下来，确定更新的频率或延迟。哪些系统需要实时数据，哪些需要每天或每周更新？根据你使用的威胁情报解决方案，你可能无法获得实时数据，你将不得不考虑如何将延迟因素纳入你的安全程序。

然后，考虑每个受众或系统的适当格式。集成系统在通过API同步数据时可能表现最好--然而，你必须检查你的威胁情报解决方案是否通过API提供全面的数据或对API调用有限制。不能使用API的沙盒系统可能需要以便携文件（如CSV文件）传输数据。人类受众可能需要可视化的威胁报告。

最后，威胁情报将如何融入大局？每个组织都应该在其应用管道中增加可观察性；威胁情报（如果有的话）应该是其中的一部分。

威胁情报的三种类型

因此，我们知道什么是情报，以及它是如何工作的，但有不同类型的威胁情报，它们各自为组织提供不同的目的。

战略性威胁情报

更广泛的趋势，通常是为非技术受众准备的。

好的战略情报应提供对某些领域的洞察力，如与某些行动路线相关的风险，威胁行为者战术和目标的广泛模式，以及地缘政治事件和趋势，通常是在了解即将发生的问题和行业最佳实践的基础上形成的，侧重于一个组织的长期大安全画面。

这种情报可能被认为是非技术性的，但在连接多个部门的边界组织的需求方面是非常重要的，而且应该采用一种可以在所有管理结构中容易执行和遵循的语言。

战术性威胁情报

威胁者的战术、技术和程序的概要，面向更多的技术受众。

它应该帮助安全人员具体了解他们的组织可能受到的攻击，以及防御或减轻这些攻击的最佳方法。

它通常包括技术背景，由直接参与组织防御的人员使用，如系统架构师、管理员和安全人员。

业务威胁情报

有关具体攻击和活动的技术细节。

这些报告通常是非常技术性的，包括诸如正在使用的攻击载体，正在利用的漏洞，或正在使用的指挥和控制域等信息。

技术信息的一个常见来源是威胁数据馈送，它通常侧重于单一类型的指标，如恶意软件的哈希值或可疑的域。

这些报告还将为公司提供通过组织的通信和数据的具体情况，也许还能识别出可能引起关注并因此可由安全团队采取行动的特殊通信模式。

欲了解更多信息，请阅读关于威胁情报的不同用例。

总结

将威胁情报集成到你的网络中是提供主动安全和确保你的组织免受所有现有和潜在威胁的一个非常重要的方面。

为了给你的组织提供最强大的安全态势，请看看像NovaSense这样的解决方案，以提供你所需要的实时、真实世界的威胁情报。