何謂網路威脅情報 (CTI)？

CTI 涵蓋與網路安全相關的廣泛資訊與分析。不過，根據資訊類型和應用，它可以分成三個一般類別。完善的 CTI 計畫將包含各種不同層級的類型，以滿足組織獨特的網路安全需求。

策略情報

策略性威脅情報 (STI) 來自於對廣泛網路安全趨勢的高層級分析，以及這些趨勢可能對組織造成的影響。它提供有關威脅行為者動機、能力和目標的洞察力，並協助 IT 以外的主管和決策者瞭解潛在的網路威脅。相較於其他類型的 CTI，策略性威脅情報通常較少技術性和特定事件，通常用來制定風險管理策略和方案，以減輕未來網路攻擊的影響。

戰術情報

顧名思義，戰術威脅情報 (TTI) 著重於威脅行為者的戰術、技巧和程序 (TTP)，並試圖瞭解威脅行為者可能會如何攻擊組織。戰術威脅情報也會利用威脅搜補來探索威脅弱點，主動搜尋組織網路內最初未偵測到的威脅。TTI 比 STI 更具技術性，通常由 IT 或 SOC 團隊用來強化網路安全措施或改善事件回應計畫。

作業情報

作業威脅情報 (OTI) 比 STI 和 TTI 更為詳盡、針對特定事件且即時，是用來促進及時威脅偵測和事件回應的即時資料。CISO、CIO 和 SOC 成員經常利用 OTI 來識別和挫敗可能的攻擊。

威脅情報來源

威脅情報的來源幾乎和網路安全環境本身一樣多樣化。不過，CTI 有幾種常見的來源。

• 內部資料：組織從自身資料、網路日誌、事件回應等收集的資訊。
• 開放源碼情報 (OSINT)：來自被視為公共領域的資源的資訊。
• 封閉來源服務：一般大眾無法取得的資訊。
• 資訊分享與分析中心 (ISACs)：針對特定商業部門的組織，負責收集、分析並與成員組織分享可行的威脅資訊。
• 政府建議：由 FBI (美國)、National Cyber Security Centre (英國) 或 European Union Agency for Cybersecurity (ENISA) 等機構發佈的資訊。
• 深層與暗網情報：加密與匿名的資訊，可提供網路犯罪與活動的相關資訊、即將發生攻擊的早期警告，以及網路罪犯動機與方法的深入瞭解。

利用外部和內部威脅情報

來自內部和外部來源的 CTI 可提供不同但同樣重要的洞察力，以瞭解組織的威脅狀況。

分析內部資料可建立「情境 CTI」，協助組織根據個別情況、業務系統、產品和服務，識別和確認最相關的威脅。檢閱過往事件的資訊可揭露妥協指標 (IOC)、詳細說明違規事件的因果關係，並提供改善事件回應計畫的機會。內部 CTI 也能讓 CISO 和 SOC 對組織的弱點有更深入的瞭解，從而制定出更有針對性的網路安全措施。

外部 CTI 可提供所需的洞察力，讓您領先目前和即將出現的威脅行為者。從全球 TTP 到來自 ISAC 和產業同業團體等來源的特定產業情報，外部 CTI 可提高威脅意識，並改善組織建立更強大網路安全計畫的能力。

威脅情報驅動資料在威脅偵測中的價值

在任何網路威脅偵測與回應計畫中，情報驅動的資料都是關鍵的元素，可助您建立主動的防禦勢態，協助組織更了解自身的弱點、預測網路威脅、將資源集中於最重要的威脅，並制定事件回應計畫，將網路攻擊的影響降至最低。

智慧驅動的資料還可以提供對風險管理和合規性問題的深入瞭解，降低資料外洩可能造成的財務和聲譽損失。

威脅情報的工具與服務

產生網路威脅情報的工具越來越多，每種工具都有獨特的形式和功能，以符合組織的網路安全需求。

結合數種工具和威脅情報平台的功能，可建立最完整、最徹底的威脅偵測和防護計畫。

威脅情報工具及其功能概觀

• 威脅情報平台 ( TIP) ：自動收集、聚合及分析外部威脅資料。
• 安全性資訊與事件管理 (SIEM) 系統 ：收集並分析由系統日誌、事件資料及其他情境來源所組成的內部威脅資料。
• 威脅情報饋送：提供與目前或正在發生的網路威脅相關的即時資訊流，通常專注於特定的關注領域 (IP 位址、網域、惡意軟體簽章等)。
• 沙箱工具：提供受控制的環境，讓組織可以分析或開啟具有潛在危險的檔案或程式，而不會對組織的內部系統造成風險。
• 開放源碼情報 (OSINT) 工具：從公共來源（社交媒體、部落格、公開討論區等）收集資料。

威脅情報服務：它們如何增強網路安全

威脅情報服務為 CISO 和 SOC 提供開發和最佳化網路威脅分析、防護和復原計畫的工具，以支援組織的網路安全工作。有效的 CTI 支援可提高整體威脅意識、實現主動防禦措施、強化事件回應計畫，以及改善決策和風險管理。

威脅情報計畫中事件回應的角色

事件回應計畫 (IRP) 在威脅情報計畫中有幾種嚴重性。IRP 概要說明組織如何因應網路安全事件並從中恢復。除了確保組織為網路攻擊做好準備之外，精心規劃的 IRP 還會提供各種威脅情報，可用於改善未來的網路安全措施。

威脅情報的實作

網路威脅情報的實作，首先要定義明確的目標，並從各種內部和外部來源收集相關資料。資料經分析後，可用於產生可執行的情報，以整合至現有的網路安全計畫中。

將威脅情報整合至您的網路安全策略中

將 CTI 計畫的洞察力應用於整體網路安全策略，將可提升威脅防護、攻擊預防及事件回應的能力。值得注意的是，這種整合可能需要調整現有程序、調整控制措施、更新計劃或修改使用者訓練計畫。

威脅搜補：積極的網路安全方法

老練的駭客可以滲透網路，並在搜尋或收集資料、登入憑證或其他敏感資料時不被發現。威脅搜補是主動搜尋內部網路中先前未偵測到的網路威脅的作法。威脅搜補是消除進階持續威脅 (APT) 的關鍵。

威脅情報生命週期：概述

威脅情報生命週期是 CISO 開發與實作網路威脅情報方案的流程大綱。它是不斷地將原始威脅資料轉換為可執行的威脅情報的架構，然後利用這些情報來識別並避免組織的網路安全受到威脅。

瞭解威脅情報生命週期的各個階段

1. 發現：從各種來源發現威脅情報資料（指標、對手策略、工具等），這些來源可包括內部調查和來源、威脅情報饋送、合作夥伴、其他開放源威脅情報 (OSINT)。
2. 系列：一旦發現威脅情報資料，就收集並儲存這些資料，以便進行額外的處理和分析。
3. 處理：清理資料以移除重複、不一致及不相關的資訊。然後將原始資料轉換成適合分析的格式，並使用額外的上下文和元資料來強化。
4. 分析：對處理過的資料進行深入分析，以辨識模式、趨勢和潛在威脅，並運用各種技術發掘隱藏的洞察力。然後評估已辨識威脅的可信度和影響。
5. 行動：準備可執行的情報，並分發給相關利害關係人，包括事件回應團隊、SOC 和主管。確保針對不同受眾的特定需求量身打造資訊，使其簡潔明瞭。
6. 回饋迴圈：擷取關鍵利害關係人對所提供威脅情報的有效性和相關性的回饋。然後根據回饋和經驗，不斷地精進和改善收集、處理、分析和流程。

建立有效的威脅情報計畫

建立有效的 CTI 計畫不只是尋找正確的工具和搜尋資料，還需要策略導向的計畫、專家團隊、井然有序的流程，以及整個組織不斷地學習和改善。

建立威脅情報計劃的關鍵步驟

• 定義目的和目標。
• 分配資源和適當技能的員工。
• 實作相關資料收集流程。
• 開發資料分析和情報產生的方法。
• 在網路安全計畫中整合並利用情報。
• 定義情報傳播格式。
• 收集和審查回饋。
• 確保符合並遵守業界標準、規範和內部治理政策。

威脅情報中不斷地學習與適應的重要性

隨著威脅行為者的知識與技術日趨成熟，網路威脅的形勢也不斷地改變。有效的 CTI 計畫只有在其設計目的在於阻擋威脅時，才能保持其有效性。從過去的事件和威脅情報回饋中學習，可讓組織不斷地調整和強化 CTI 計畫的要素，使其盡可能保持相關性和有效性。

威脅情報常見問題集