何謂網路威脅情報 (CTI)?
在這個世界上,幾乎每個產業、組織和個人都越來越倚賴數位系統,因此識別和降低網路攻擊的風險是一項重要的前瞻性安全措施。
網路威脅情報 (CTI) 代表組織收集並分析有關網路安全與基礎結構潛在與持續威脅的資訊。
威脅情報讓首席資訊安全官 (CISO) 和安全性團隊對潛在網路威脅行為者的動機和方法有寶貴的洞察力,以協助安全性團隊預測威脅、強化網路防禦計畫、改善 事件回應、降低網路弱點,以及減少網路攻擊造成的潛在損害。
威脅情報:為何重要
根據 NIST,網路威脅情報是組織網路復原能力的重要組成部分,包括「預測、承受、恢復及適應」系統威脅、攻擊或入侵的能力。
威脅情報可提供強大的戰術資訊,讓組織能更好地識別和應對網路攻擊,從而強化網路 安全 計畫。收集此資訊的過程也可透過發現網路安全系統的弱點來支援風險管理。安全性團隊就能更好地分配資源,以因應與產業最相關的網路威脅,並保護寶貴的資料、資產和智慧財產。
網路威脅情報的好處
擁有經驗豐富的威脅情報分析師的強大 CTI 計畫,可以在多個層面上強化網路安全性與彈性,包括
- 建立主動的網路防禦:與傳統的被動式網路防禦 (回應已知的威脅) 相反,CTI 可讓組織瞭解潛在的威脅行為者,並預測可能的攻擊。
- 改善風險管理計劃:CTI 提供有關潛在威脅行為者使用的動機、手段和方法的可行資訊。CISO 和 SOC 在評估風險狀況和分配網路安全資源時,可以利用這些洞察力,將威脅偵測和防護發揮到極致。
- 改善事件回應:除了支援攻擊預防外,CTI 還能提供洞察力,讓組織更能因應網路攻擊並從中恢復。徹底了解外洩情況可大幅降低外洩所造成的影響。
- 提高員工的意識:組織可以利用 CTI 來教育員工有關網路威脅的知識,並建立以安全為重點的作業程序和訓練。
網路威脅情報的挑戰
在現代的數位環境中,收集 CTI 已經變得越來越重要,但也不是沒有挑戰。以下是一些常見的挑戰:
- 資訊超載:除了收集、處理和分析大量資料外,CTI 團隊還必須區分「正常」和「惡意」活動。此外,還必須評估威脅,以確定哪些資訊與組織的產業、規模和風險狀況等因素最為相關。
- 資訊更新:CTI 計畫的有效性取決於所分析資訊的及時性。根據過時的 CTI 所做的決策會妨礙組織的威脅偵測,並增加遭受網路攻擊的可能性。
- 合規性:CTI 通常涉及個人識別資訊 (PII)。組織必須確保所有 CTI 系統符合任何適用的資料保護規範。
網路威脅情報的種類
CTI 涵蓋與網路安全相關的廣泛資訊與分析。不過,根據資訊類型和應用,它可以分成三個一般類別。完善的 CTI 計畫將包含各種不同層級的類型,以滿足組織獨特的網路安全需求。
策略情報
策略性威脅情報 (STI) 來自於對廣泛網路安全趨勢的高層級分析,以及這些趨勢可能對組織造成的影響。它提供有關威脅行為者動機、能力和目標的洞察力,並協助 IT 以外的主管和決策者瞭解潛在的網路威脅。相較於其他類型的 CTI,策略性威脅情報通常較少技術性和特定事件,通常用來制定風險管理策略和方案,以減輕未來網路攻擊的影響。
戰術情報
顧名思義,戰術威脅情報 (TTI) 著重於威脅行為者的戰術、技巧和程序 (TTP),並試圖瞭解威脅行為者可能會如何攻擊組織。戰術威脅情報也會利用威脅搜補來探索威脅弱點,主動搜尋組織網路內最初未偵測到的威脅。TTI 比 STI 更具技術性,通常由 IT 或 SOC 團隊用來強化網路安全措施或改善事件回應計畫。
作業情報
作業威脅情報 (OTI) 比 STI 和 TTI 更為詳盡、針對特定事件且即時,是用來促進及時威脅偵測和事件回應的即時資料。CISO、CIO 和 SOC 成員經常利用 OTI 來識別和挫敗可能的攻擊。
威脅情報來源
威脅情報的來源幾乎和網路安全環境本身一樣多樣化。不過,CTI 有幾種常見的來源。
- 內部資料:組織從自身資料、網路日誌、事件回應等收集的資訊。
- 開放源碼情報 (OSINT):來自被視為公共領域的資源的資訊。
- 封閉來源服務:一般大眾無法取得的資訊。
- 資訊分享與分析中心 (ISACs):針對特定商業部門的組織,負責收集、分析並與成員組織分享可行的威脅資訊。
- 政府建議:由 FBI (美國)、National Cyber Security Centre (英國) 或 European Union Agency for Cybersecurity (ENISA) 等機構發佈的資訊。
- 深層與暗網情報:加密與匿名的資訊,可提供網路犯罪與活動的相關資訊、即將發生攻擊的早期警告,以及網路罪犯動機與方法的深入瞭解。
利用外部和內部威脅情報
來自內部和外部來源的 CTI 可提供不同但同樣重要的洞察力,以瞭解組織的威脅狀況。
分析內部資料可建立「情境 CTI」,協助組織根據個別情況、業務系統、產品和服務,識別和確認最相關的威脅。檢閱過往事件的資訊可揭露妥協指標 (IOC)、詳細說明違規事件的因果關係,並提供改善事件回應計畫的機會。內部 CTI 也能讓 CISO 和 SOC 對組織的弱點有更深入的瞭解,從而制定出更有針對性的網路安全措施。
外部 CTI 可提供所需的洞察力,讓您領先目前和即將出現的威脅行為者。從全球 TTP 到來自 ISAC 和產業同業團體等來源的特定產業情報,外部 CTI 可提高威脅意識,並改善組織建立更強大網路安全計畫的能力。
威脅情報驅動資料在威脅偵測中的價值
在任何網路威脅偵測與回應計畫中,情報驅動的資料都是關鍵的元素,可助您建立主動的防禦勢態,協助組織更了解自身的弱點、預測網路威脅、將資源集中於最重要的威脅,並制定事件回應計畫,將網路攻擊的影響降至最低。
智慧驅動的資料還可以提供對風險管理和合規性問題的深入瞭解,降低資料外洩可能造成的財務和聲譽損失。
威脅情報的工具與服務
產生網路威脅情報的工具越來越多,每種工具都有獨特的形式和功能,以符合組織的網路安全需求。
結合數種工具和威脅情報平台的功能,可建立最完整、最徹底的威脅偵測和防護計畫。
威脅情報工具及其功能概觀
- 威脅情報平台 ( TIP) :自動收集、聚合及分析外部威脅資料。
- 安全性資訊與事件管理 (SIEM) 系統 :收集並分析由系統日誌、事件資料及其他情境來源所組成的內部威脅資料。
- 威脅情報饋送:提供與目前或正在發生的網路威脅相關的即時資訊流,通常專注於特定的關注領域 (IP 位址、網域、惡意軟體簽章等)。
- 沙箱工具:提供受控制的環境,讓組織可以分析或開啟具有潛在危險的檔案或程式,而不會對組織的內部系統造成風險。
- 開放源碼情報 (OSINT) 工具:從公共來源(社交媒體、部落格、公開討論區等)收集資料。
威脅情報服務:它們如何增強網路安全
威脅情報服務為 CISO 和 SOC 提供開發和最佳化網路威脅分析、防護和復原計畫的工具,以支援組織的網路安全工作。有效的 CTI 支援可提高整體威脅意識、實現主動防禦措施、強化事件回應計畫,以及改善決策和風險管理。
威脅情報計畫中事件回應的角色
事件回應計畫 (IRP) 在威脅情報計畫中有幾種嚴重性。IRP 概要說明組織如何因應網路安全事件並從中恢復。除了確保組織為網路攻擊做好準備之外,精心規劃的 IRP 還會提供各種威脅情報,可用於改善未來的網路安全措施。

威脅情報的實作
網路威脅情報的實作,首先要定義明確的目標,並從各種內部和外部來源收集相關資料。資料經分析後,可用於產生可執行的情報,以整合至現有的網路安全計畫中。
將威脅情報整合至您的網路安全策略中
將 CTI 計畫的洞察力應用於整體網路安全策略,將可提升威脅防護、攻擊預防及事件回應的能力。值得注意的是,這種整合可能需要調整現有程序、調整控制措施、更新計劃或修改使用者訓練計畫。
威脅搜補:積極的網路安全方法
老練的駭客可以滲透網路,並在搜尋或收集資料、登入憑證或其他敏感資料時不被發現。威脅搜補是主動搜尋內部網路中先前未偵測到的網路威脅的作法。威脅搜補是消除進階持續威脅 (APT) 的關鍵。
威脅情報生命週期:概述
威脅情報生命週期是 CISO 開發與實作網路威脅情報方案的流程大綱。它是不斷地將原始威脅資料轉換為可執行的威脅情報的架構,然後利用這些情報來識別並避免組織的網路安全受到威脅。

圖 2.Unit 42 威脅英特爾生命週期
瞭解威脅情報生命週期的各個階段
- 發現:從各種來源發現威脅情報資料(指標、對手策略、工具等),這些來源可包括內部調查和來源、威脅情報饋送、合作夥伴、其他開放源威脅情報 (OSINT)。
- 系列:一旦發現威脅情報資料,就收集並儲存這些資料,以便進行額外的處理和分析。
- 處理:清理資料以移除重複、不一致及不相關的資訊。然後將原始資料轉換成適合分析的格式,並使用額外的上下文和元資料來強化。
- 分析:對處理過的資料進行深入分析,以辨識模式、趨勢和潛在威脅,並運用各種技術發掘隱藏的洞察力。然後評估已辨識威脅的可信度和影響。
- 行動:準備可執行的情報,並分發給相關利害關係人,包括事件回應團隊、SOC 和主管。確保針對不同受眾的特定需求量身打造資訊,使其簡潔明瞭。
- 回饋迴圈:擷取關鍵利害關係人對所提供威脅情報的有效性和相關性的回饋。然後根據回饋和經驗,不斷地精進和改善收集、處理、分析和流程。
建立有效的威脅情報計畫
建立有效的 CTI 計畫不只是尋找正確的工具和搜尋資料,還需要策略導向的計畫、專家團隊、井然有序的流程,以及整個組織不斷地學習和改善。
建立威脅情報計劃的關鍵步驟
- 定義目的和目標。
- 分配資源和適當技能的員工。
- 實作相關資料收集流程。
- 開發資料分析和情報產生的方法。
- 在網路安全計畫中整合並利用情報。
- 定義情報傳播格式。
- 收集和審查回饋。
- 確保符合並遵守業界標準、規範和內部治理政策。

圖 3.Unit 42 CTI 程序階段
威脅情報中不斷地學習與適應的重要性
隨著威脅行為者的知識與技術日趨成熟,網路威脅的形勢也不斷地改變。有效的 CTI 計畫只有在其設計目的在於阻擋威脅時,才能保持其有效性。從過去的事件和威脅情報回饋中學習,可讓組織不斷地調整和強化 CTI 計畫的要素,使其盡可能保持相關性和有效性。
威脅情報常見問題集
網路威脅情報是收集和分析組織潛在和現有網路威脅相關資訊的過程。
網路威脅情報的目的是為組織提供可操作的洞察力,協助組織瞭解威脅行為者所使用的策略、技術和程序。所收集的資訊可讓組織制定並實作有效的安全措施,以預防或減緩網路攻擊的影響。
網路威脅情報趨勢會因產業、地理位置和威脅類型而異。然而,有幾種一般趨勢會影響各類型的企業和組織。
- 網路攻擊越來越多,成本也越來越高。
- 網路罪犯正在合作並趨於專業化。
- Botnets 和自動化惡意軟體部署工具正變得越來越複雜。
- 國家贊助的行動者與網路罪犯之間的合作正在增加。
- 各種規模的組織都面臨危險,尤其是中小型企業 (SMB)。
網際網路的出現創造了前所未有的資訊分享與連結。隨著數位環境的擴展,保護個人和組織免受日益嚴重的網路攻擊威脅的需求也隨之增加。
快速成長的威脅催生了早期的網路保護規約,例如 IP 和 URL 黑名單,以及防毒程式和防火牆等網路威脅封鎖系統。
進入 2000 年代,網路攻擊日益猖獗,例如「ILOVEYOU」蠕蟲病毒造成的損失高達 150 億美元。垃圾郵件、殭屍網絡和特洛伊木馬變得更加普遍,對於更強大、更主動的網路安全措施的需求也變得更加明確。然而,正是進階持續威脅 (APT) 的出現,點燃了網路威脅情報運動。企業和政府都成立了網路威脅情報小組,而網路安全公司也開始協助組織更好地預測和預防網路威脅。
自 2010 年以來,網路攻擊者已變得更複雜、更具破壞性。複雜的駭客、惡意軟體和勒索軟體攻擊導致 CTI 轉向著重於威脅行為者的策略、技術和程序,也就是現在所說的 TTP。這些全面的分析可讓 組織獲得所需的洞察力和瞭解力,以預測威脅,而非僅僅對威脅做出反應。
現代網路威脅情報是任何網路安全計畫不可或缺的一環,會影響資源分配、威脅分析政策和事件回應計畫。