什么是网络威胁情报？

网络威胁情报 (CTI) 是指有关组织在数字领域所面临威胁的任何信息。这些信息从广泛的来源收集而来，有助于分析人员了解威胁行为者的动机、目标和行为。它还能让企业评估数字和物理威胁的严重性，同时作为缓解和补救策略的基础。

网络威胁情报的优势

威胁行为体在不被察觉的环境中茁壮成长，因此也不受阻碍。威胁情报有助于揭示他们的行动，使组织能够更有效地准备和应对网络攻击。这样做有几个好处：

可操作威胁情报的敏捷性、灵活性和有效性越来越重要。网络攻击不仅数量比以往任何时候都多，而且执行速度也快得多。威胁行动者，尤其是出于经济动机、由国家支持的勒索软件操作者，变得越来越复杂。

即使是不成熟、非技术性的网络犯罪分子也能对组织造成严重危害。他们可以不利用自己的工具和战术，而是从更复杂的威胁行为者那里租用网络攻击基础设施。或者，他们可以通过初始访问代理（IAB）购买进入被入侵系统的途径。

威胁情报需要的不仅仅是被动的数据协调。一个组织必须拥有必要的基础设施来持续监控其整个生态系统，并有能力实时分析威胁数据并将其情景化。对于大多数组织来说，这意味着威胁情报需要一定程度的自动化--未经过滤的威胁情报馈送所产生的信息量，即使是装备最精良的安全团队也无法考虑。

各组织还必须将威胁情报与事件响应和风险管理等其他流程相结合。威胁情报并非存在于真空中，它必须成为网络安全整体方法的一部分。

这也意味着，您收集威胁数据的任何解决方案，如扩展检测和响应（XDR）解决方案或安全信息和事件管理（SIEM）平台，都必须完全集成到您的安全堆栈中。

威胁情报生命周期是一个组织收集和检查有关潜在威胁的原始数据，然后利用这些数据主动应对这些威胁的过程。实现这一目标的核心流程和技术并非网络安全领域独有。相反，它们已经在公共部门，特别是军队和执法部门发展和磨练了几十年。

在网络安全和网络威胁管理方面，情报周期包括以下几个阶段：

1.要求和方向。 这是一个组织为其威胁情报计划奠定初步基础的阶段，确定：

2.收集。 在这一阶段，要从广泛的内部和外部来源收集信息。这可能包括防病毒日志、网络流量、行业馈送以及表面和深层网络监控。

3.处理。 第二阶段收集的数据大多未经过滤和格式化--在可用之前，必须首先对其进行处理和组织。鉴于即使是一个规模不大的威胁情报项目所收集的数据量也非常大，手动处理这些数据的可行性极低。

4.分析。人工检查处理过的数据，运用自己的知识、直觉和专业技能进一步了解信息的来龙去脉。然后，他们决定如何最好地利用从威胁数据中获得的洞察力。

5.传播。 威胁情报团队从收集到的威胁数据中确定核心见解和行动项目后，就会将这些信息部署给关键的组织利益相关者，然后由他们用来指导决策。

6.反馈。 利益相关者收到情报小组的威胁报告定稿后，就他们认为必须做出的任何调整进行反馈。

所有网络威胁情报可分为四类。

战略性网络威胁情报侧重于更高层次的见解，如组织的整体威胁状况、威胁行动者的可能动机以及成功攻击的潜在影响。它支持长期规划，帮助组织识别更广泛的行业趋势，确定其整体风险态势，并制定风险缓解战略。战略威胁情报一般面向组织领导层。

战术网络威胁情报重点收集和摄取有关威胁行为者所采用的战术、技术和程序的可操作信息。它能让安全团队深入了解潜在漏洞和可能的防御措施。

技术网络威胁情报主要涉及入侵迹象。它涉及快速识别和应对正在发生的网络攻击。可以理解的是，技术性 CTI 和操作性 CTI 之间有很大的重叠，两者经常被归为一类。

行动网络威胁情报包括有关潜在威胁的性质、动机和时间的详细实时知识，以及有关威胁行动者的能力和动机的详细信息。威胁猎取属于行动 CTI 的范畴，渗透暗网论坛和黑客社区也属于行动 CTI 的范畴。

网络威胁情报的用例相当广泛，包括以下内容：

CylanceINTELLIGENCE^™是一项订阅服务，为组织提供上下文和可操作的网络威胁情报，以便您能够预防、追捕和应对复杂的威胁。