什麼是威脅情報平台 (TIP)？

威脅情報平台的價值

威脅情報平台透過增強安全作業中心 (SOC) 的能力，提供了巨大的價值。他們彙集來自不同來源的威脅資料，並將其轉換為可行的洞察力。

相較之下，TIP 有助於安全性和威脅情報團隊：

• 自動化、精簡和簡化威脅情報資料的研究、蒐集、聚合和組織流程，並將資料規範化、除錯和豐富化。
• 即時監控和快速偵測、驗證潛在的安全威脅，並作出回應。
• 取得重要資訊，例如有關目前與未來安全風險、威脅、攻擊與弱點的背景與詳細資訊，以及威脅對手及其策略、技術與程序 (TTP) 的資訊。
• 建立安全事故升級與回應程序。
• 透過儀表板、警示、報告等與其他利害關係人分享威脅情報資料。
• 不斷地將最新的威脅情報資料提供給安全系統，例如安全資訊與事件管理 (SIEM) 解決方案、端點、防火牆、應用程式介面 (API)、入侵防護系統 (IPS) 等。

威脅情報如何運作

網路安全中的威脅情報是一種全面且動態的方法，包含數個階段，每個階段對於發展有效的防禦機制以對抗網路威脅都至關重要。它從收集資料開始，延伸至可執行的回應，影響安全作業中心 (SOC) 的運作方式。

資料收集

威脅情報首先要從廣泛的來源收集資料。這些情報包括公開來源情報 (OSINT)，例如網際網路、論壇、社交媒體上的公開資訊，以及專門的網路安全報告。伺服器日誌、網路流量資料和過去的事件報告等內部來源也很重要。

以訂閱為基礎的情報提供另一層資料，提供來自產業專家、研究組織和政府機構的洞察力。

資料分析

然後分析收集到的資料，找出模式 (模式識別)。這包括尋找網路攻擊的共通點，例如威脅行為者使用的類似方法或重複出現的系統漏洞。

識別異常是威脅情報的關鍵。異常可能表示與常規有所偏差，例如不尋常的網路流量，這可能意味著安全漏洞。瞭解資料的來龍去脈至關重要。這涉及到區分假陽性和真正的威脅，以及了解威脅在組織特定環境中的影響。

轉換為行動智慧

分析後的資料會轉換成可執行的情報。這意味著要將龐大的資料提煉成與組織安全勢態相關的洞察力。此情報有助於策略規劃，幫助組織瞭解其威脅狀況，並做好相應的準備。

即時處理與回應

即時處理威脅資料可讓 SOC 快速識別新興威脅。指出威脅的速度越快，處理威脅的速度就越快。

自動回應

在許多情況下，威脅情報平台可以自動回應特定類型的威脅，例如隔離受影響的系統或更新防火牆以封鎖惡意 IP。這些情報還能為事件回應策略提供資訊，指導如何減緩攻擊和從攻擊中恢復。

不斷地改善

威脅情報不是一次性的活動，而是一個不斷地進行的過程。透過分析威脅所獲得的洞察力，可以精進安全策略並改善防禦機制。

威脅情報是一個循環且不斷演進的過程，在網路安全生態系統中至關重要。它為 SOC 提供預測、識別及迅速回應網路威脅的能力，是主動式網路防禦策略的基石。

威脅情報的類型與範例

威脅情報是一個多層面的領域，包含各種類型，可滿足不同的網路安全需求。每種類型在提供全面的網路威脅景觀方面都扮演獨特的角色。

策略情報

策略情報提供網路安全景觀的高層次觀點，著重於長期趨勢與洞察力。這類情報對決策者和政策制定者至關重要，可讓他們更廣泛地瞭解威脅、潛在風險及其對企業或國家安全的影響。範例包括

• 全球網路威脅報告詳述網路犯罪趨勢、民族國家活動以及網路能力的進展。
• 分析網路安全立法和政策變更及其影響。
• 產業或組織的長期風險評估。

戰術情報

戰術情報深入探討威脅行為者的策略、技術和程序 (TTP)。對於安全性作業中心 (SOC) 團隊和事件回應人員來說，了解攻擊者的作業方式和策略是非常重要的。範例包括

• 詳細分析近期網路攻擊中使用的攻擊模式和方法。
• 有關特定駭客群組及其偏好方法的資訊，例如某些網路釣魚攻擊或攻擊漏洞。
• 針對特定 TTPs 的最佳作法與防禦策略。

作業情報

行動情報關乎特定、持續或即將發生的威脅和攻擊。此情報具有高度的可操作性，而且通常具有時間敏感性，旨在協助 SOC 團隊回應主動威脅。範例包括

• 即時警示正在進行的網路攻擊活動。
• 有關新發現的漏洞正被廣泛利用的資訊。
• 最近資料外洩或安全事故的事件報告和細目。

技術情報

技術情報著重於威脅的技術細節，例如妥協指標 (IoC)、惡意軟體簽章和 IP 位址。IT 和安全性團隊會使用這類情報來建立防禦，並應對特定的技術威脅。範例包括

• 與威脅行為者相關的惡意軟體檔案、惡意網域名稱或 IP 位址的切細值。
• 分析惡意軟體的行為、其感染媒介和修復步驟。
• 防毒和入侵防護系統的更新和簽章，以偵測和阻擋已知的威脅。

實際應用

• 戰術情報可能包括新網路釣魚技術的詳細資訊，而技術情報將會提供 IoC，例如活動中使用的惡意 URL 或電子郵件位址。
• 惡意軟體分析：有關新惡意軟體變種的報告，包括其行為、攻擊媒介和影響，將屬於技術情報，而作業情報的重點則是目前使用該惡意軟體的活躍行動。
• 新興駭客趨勢：策略情報可協助組織瞭解這些趨勢對其長期安全勢態的廣泛影響。相比之下，戰術情報著重於如何將這些趨勢應用在針對他們的攻擊中。

這些類型的威脅情報共同賦予組織在多層面了解並應對網路威脅的能力。戰略情報有助於長期規劃和政策制定，戰術和作戰情報有助於日常安全作業，技術情報有助於處理特定威脅和事件。

為什麼組織需要威脅情報平台 (TIP)？

由於威脅情報資料經常來自數百個來源，手動彙整這些資訊非常耗時。這表示必須要有一個技術平台，以自動化、智慧型的方式來處理這項任務，而不是完全依賴人力分析師。

過去，安全性和威脅情報團隊使用多種工具和流程，以手動方式從各種來源收集和檢閱威脅情報資料、識別和應對潛在的安全性威脅，並與其他利害關係人分享威脅情報 (通常是透過電子郵件、試算表或線上入口網站)。

越來越多的人認為這種方法不再奏效，因為：

• 公司以 STIX/TAXII、JSON、XML、PDF、CSV、電子郵件等各種格式收集大量資料。
• 每年，安全威脅（來自威脅行為者、惡意軟體、網路釣魚、殭屍網絡、拒絕服務攻擊 (DDoS)、勒索軟體等）的數量和類型不斷地增加，其範圍和複雜程度也不斷提高。
• 每天都會產生數百萬個潛在威脅指標。
• 公司必須比以前更快回應潛在的安全威脅，以防止廣泛的損害。

安全性和威脅情報團隊經常被雜訊和誤判所淹沒。因此，對他們來說，要確定哪些資料對公司最相關、最有價值，變得很有挑戰性。他們也很難分辨真假威脅。

因此，他們必須花更多時間和精力，專注於對組織構成真正風險的威脅。

威脅情報平台的主要特徵

威脅情報平台 (TIP) 提供多層次的方法來了解和對抗網路威脅。他們會分析威脅資訊並將資訊內容化，並與安全作業中心 (SOC) 整合，以有效偵測並緩解網路風險。

這些平台的自動化和回應能力簡化了流程，讓您能更穩固地防禦潛在的網路攻擊。

TIP 的主要特徵包括

• 資料聚合與整合：TIP 從多種來源收集資料，包括開放源碼情報、來自私人供應商的饋送、產業報告、事件日誌等。這種彙總對於建立廣泛的威脅景觀非常重要。
• 資料分析：除了收集資料之外，TIP 還會分析這些資訊，以辨識模式、異常和妥協指標 (IoC)。此分析將原始資料轉化為可執行的情報。
• 即時監控與警示：TIP 的一個關鍵功能是即時監控威脅，對潛在的安全事件提供及時警示，這對於迅速的事件回應至關重要。
• 威脅資料的情境化：TIP 通常會提供威脅資料的相關內容，協助安全性團隊瞭解每項情報與其特定環境的相關性。
• 分享與傳播：有效的 TIP 可促進組織內不同部門之間的情報分享，在某些情況下，還可與外部實體分享情報，以確保對威脅做出協調的回應。
• 與安全作業中心 (SOC) 整合：TIP 通常會與組織的 SOC 整合，為安全分析師提供重要輸入，並協助決策流程。
• 自動化與回應：先進的 TIP 整合了自動化功能，能夠更快速地回應已識別的威脅，並減少安全性團隊的手動工作量。

威脅情報資料的種類

以下類型的資料是其威脅情報平台不可或缺的部分。它們可確保組織在威脅發生時能反應迅速地處理，並能主動預測未來潛在的威脅，並為此做好準備。這種全面的方法對於在不斷演進的數位環境中維持穩健的網路安全勢態至關重要。

透過利用這些資料類型，威脅情報平台可讓組織在網路安全性競賽中保持領先，確保更安全、更有彈性的數位環境。

• 妥協指標 (IoC)：
  • 定義：IoC 是顯示網路或系統可能已被入侵的資料點。它們是攻擊者留下的紅旗或腳印。
  • 範例：常見的 IoC 包括不尋常的向外網路流量、特權使用者帳戶活動異常、地理位置異常、可疑的註冊表或系統檔案變更、IP 位址、URL 和惡意軟體哈希值。
  • 使用：IoC 用於快速偵測和調查違規行為。安全性團隊使用它們掃描記錄和其他資料來源，以辨識惡意活動。
• 戰術資料：
  • 定義：此類情報著重於威脅行為者的特定方法。它詳細說明了攻擊媒介，包括攻擊者使用的工具、技術和程序 (TTP)。
  • 重要性：瞭解戰術資料有助於配置安全系統（如防火牆和入侵偵測系統），以防範特定的攻擊方法。
  • 申請：安全專業人員使用戰略資料來瞭解和預測攻擊者的技術，讓他們能夠加強對這些方法的防禦。
• 戰略情報：
  • 概述：策略情報可提供全球網路安全情勢的高層級檢視。它涉及分析網路威脅的長期趨勢、動機和影響。
  • 內容：這可能包括洞察網路威脅的地緣政治層面、新興網路威脅趨勢、網路法律的變更，以及網路罪犯不斷演進的策略。
  • 目的：它有助於決策者制定長期安全策略和政策。透過瞭解更廣泛的趨勢，組織可以預測未來的威脅並做好準備。

威脅情報平台的實作

實作威脅情報平台是一個策略性的過程，涉及數個嚴重性的步驟，每個步驟對於確保平台的有效性及符合組織的特定安全需求都至關重要。

1. 評估特定的智慧需求：確定目標：組織必須先瞭解其獨特的威脅狀況與安全目標。這包括識別與組織最相關的威脅、風險最大的資產，以及不同威脅情況的潛在影響。重點應放在偵測、識別和調查潛在的安全威脅、攻擊和惡意威脅行為者。
2. 選擇正確的平台：選擇能與現有安全基礎架構互補並完美整合的威脅情報平台至關重要。平台應能以與組織現有系統相容的格式彙集和分析資料。平台應能處理各種資料格式，並與 SIEM、防火牆和入侵防護系統等現有安全系統整合。
3. 訓練人員：對安全人員進行平台技術方面的訓練，以及詮釋所提供情報並據此採取行動的訓練，至關重要。這包括了解威脅的背景，以及如何排定威脅的優先順序。定期向組織內的各個團隊提供威脅相關資訊非常重要，建議採用多領域的方式來處理威脅情報。
4. 整合平台：威脅情報平台應與現有的安全工具和協定整合。這包括設定自動化回應的工作流程，並確保平台能強化現有的安全作業，而非使其複雜化。最佳實作包括將威脅情報平台整合至更廣泛的安全作業，包括規劃、監控、回饋、回應和修復流程。整合也應支援自動執行和跨團隊的威脅情報分享。
5. 不斷地評估與改進：威脅情勢不斷演變，威脅情報的處理方式也應該不斷演變。這意味著要定期評估和更新威脅情報平台，以確保它能持續有效地對抗新的和新興的威脅。透過現代化安全系統和自動化安全流程，保持領先威脅行為者的重要性，再怎麼強調也不為過，這涉及到不斷地學習和適應。

威脅情報平台常見問題集