什么是威胁情报

威胁情报 (Threat Intelligence) 是指收集和分析有关网络威胁的信息，并将其加工为可用于组织决策的知识。它不是威胁数据 (Threat Data) 的简单堆积，而是附带「对本组织而言什么是威胁、应如何应对」这一上下文的实用信息。

威胁情报分为 3 个层级。战略情报面向管理层，展示威胁全貌和风险趋势。战术情报面向安全管理者，分析攻击者的手法 (TTP: Tactics, Techniques, and Procedures)。运营情报面向 SOC 运营人员，以 IoC（入侵指标：Indicators of Compromise）的形式提供 IP 地址、域名、文件哈希等具体检测指标。

将威胁情报作为事件响应的事前准备加以利用，可以在遭受攻击之前强化防御态势。

信息收集来源与分析框架

威胁情报的信息来源大致分为公开信息 (OSINT)、商业订阅、行业共享信息和内部数据 4 类。

OSINT（开源情报）：CVE 数据库、安全厂商博客、恶意软件分析报告、社交媒体上的威胁信息等公开信息源。免费使用，但需要评估信息的可靠性。

商业威胁情报订阅：安全厂商提供的付费威胁信息服务。包括 IoC 自动推送、攻击者画像、行业专属威胁报告等。

行业共享信息：通过 ISAC（信息共享与分析中心）和 CSIRT 社区与同行共享威胁信息。STIX/TAXII 格式的自动共享已成为标准。

MITRE ATT&CK 作为分析框架被广泛使用。ATT&CK 是系统分类攻击者战术和技术的知识库，可用于分析本组织防御覆盖的差距和设计 SIEM 检测规则。

威胁情报的实践应用

以下是确保威胁情报不仅仅是收集，而是实际应用于组织防御的实践方法。

IoC 自动应用：将从威胁情报订阅获取的恶意 IP 地址、域名、文件哈希自动应用到防火墙、IDS/IPS、SIEM。使用 STIX/TAXII 协议可以实现从收集到应用的全自动化。

威胁狩猎：不仅依赖已知 IoC，还基于 ATT&CK 的 TTP，在本组织的日志和网络流量中主动搜索未检测到的威胁。利用 SIEM 的查询功能和 EDR 的狩猎功能。

与漏洞管理的联动：通过威胁情报掌握实际被利用的漏洞，用于补丁优先级排序。不仅考虑 CVSS 评分，还考虑实际利用状况 (Exploit in the Wild)，将有限资源集中在风险最高的漏洞上。

向管理层汇报：作为战略情报，定期向管理层报告针对本组织所在行业的攻击组织动向、攻击手法趋势和风险变化。

威胁情报项目的构建

在组织中导入威胁情报项目的分阶段方法。

阶段 1：需求定义 - 定义对本组织而言什么是威胁、需要什么样的信息。根据行业、持有的资产、过去的事件历史，确定优先监控的威胁。

阶段 2：构建信息收集基础设施 - 整备 OSINT 工具、商业订阅、行业 ISAC 参与等信息收集渠道。引入 TIP（威胁情报平台），统一管理来自多个来源的信息。

阶段 3：分析与分发 - 分析收集的信息，提取与本组织相关的威胁。根据接收方（SOC、CSIRT、管理层等）以适当的形式分发分析结果。

阶段 4：反馈与改进 - 评估情报对实际防御的贡献，持续改进收集和分析流程。为应对零日攻击等新威胁，定期审视信息来源和分析方法。

常见误解

威胁情报就是 IoC（IP 地址和哈希值）的列表: IoC 只是威胁情报的一部分。真正的威胁情报是分析攻击者的动机、能力和手法 (TTP)，并指出对本组织的具体风险和对策的带有上下文的知识。仅靠 IoC，攻击者一旦改变手法就会失效。
不购买昂贵的商业服务就无法利用威胁情报: 仅凭 OSINT（CVE 数据库、安全厂商博客、MITRE ATT&CK、AlienVault OTX 等）就能构建有用的威胁情报。商业服务在信息覆盖面和自动化方面更优，但从免费信息源起步逐步扩展是现实的做法。

威胁情报