什么是威胁情报源？

什么是威胁情报源？

威胁情报源是来自外部来源的有关潜在攻击的数据流（称为"威胁情报" ）。 企业可以利用威胁情报反馈来保持其安全防御系统的更新，并准备好面对最新的攻击。

新闻网站上的新闻提要或社交媒体平台上的提要都显示持续的更新：新的内容、新的新闻作品、发展中的故事的变化，等等。 同样，威胁情报馈送是一个不断刷新的威胁数据来源： 损害指标（IoC），可疑 域，已知 恶意软件 签名，等等。

威胁情报的反馈也可以与军事侦察相提并论。 一支军队可能会利用关于敌方部队正在做什么的信息来做出设置防御的决定。 同样地，威胁情报反馈帮助安全团队更好地准备应对当前和未来的网络攻击。

一些威胁情报馈送是机器可读的；这些馈送可由安全信息和事件管理（SIEM）系统和其他安全工具直接消费。 还有一些是为了供人使用，使安全团队能够采取行动并作出决定。

许多威胁情报源是免费和开放的，以促进广泛的威胁预防。 一些威胁情报资料是专有的，只提供给付费客户。

什么是网络威胁？

"威胁" ，可定义为可能导致数据被盗、丢失、移动或未经许可被更改的行为。 这个词既可以指可能的行动，也可以指实际行动。

如果查克已经窃取了爱丽丝的电子邮件密码并接管了她的收件箱，但还没有对鲍勃这样做，查克仍然对鲍勃构成威胁。 爱丽丝可能想让鲍勃知道查克做了什么，这样鲍勃就可以采取行动保护自己不受查克伤害。 爱丽丝给了鲍勃一个简单的威胁情报形式："注意查克!"

但是，为了对安全工具和团队有用，威胁情报必须更加详细，而不是简单地"，注意查克。" 。 关于潜在外部威胁的情报可以有几种形式。

• 战术、技术和程序（TTP）： TTPs是对攻击行为的详细描述。
• 恶意软件签名： 签名是一种独特的模式或字节序列，通过它可以识别一个文件。 安全工具可以寻找具有与已知恶意软件相匹配的签名的文件。
• 妥协指标（IoC）： 这些数据有助于识别攻击是否已经发生或正在进行。
• 可疑的IP地址和域名: 网络上的所有流量都来自某处。 如果观察到攻击来自某个域或 IP地址，那么 防火墙 ，可以阻止来自这个来源的流量，以防止未来可能的攻击。

饲料中的威胁情报从何而来？

威胁情报资料中的信息可能来自一系列来源，包括：

• 分析互联网流量的攻击和数据渗出情况
• 安全专家的深入研究
• 直接进行恶意软件分析，使用启发式分析、沙箱或其他恶意软件检测方法
• 在安全社区内共享的广泛可用的开放源码数据
• 通过Web 爬网 来识别攻击和攻击基础架构（例如，Cloudflare Cloud Email Security 便利用此种技术的一种形式来提前识别 网络钓鱼攻击）
• 来自某安全公司客户的汇总分析和遥测数据

威胁情报源供应商汇编这些信息，将其添加到他们的信息源中，并将其分发。

为什么要使用威胁情报源？

最新的信息: 网络犯罪分子希望他们的攻击能够成功。 出于这个原因，他们不断改变和扩大他们的战术，以便绕过防御。 为阻止去年的攻击而设置的组织可能会被今年的攻击手段所破坏。 因此，安全团队希望得到最新的数据，以便为他们的防御提供信息，确保他们能够阻止最新的攻击。

更大的信息广度： 威胁情报反馈提供了广泛的数据。 回到我们的例子，Bob过去可能已经阻止了Chuck窃取他的邮箱，但如果Alice通知他Chuck的最新攻击，那么Bob就知道如何同时阻止他之前面对的攻击和针对Alice的攻击。 同样，威胁情报使企业能够减轻更多种类的威胁。

更高的效率： 从外部来源获取威胁情报，使安全团队能够将更多的时间用于阻止攻击而不是收集数据。 安全专业人员可以做出决定并部署缓解措施，而不是收集做出这些决定所需的信息。 而像 WAFs这样的安全工具 ，可以在实际面对攻击之前学会识别攻击。

威胁情报资料如何使用STIX/TAXII？

STIX和TAXII 是两个共同用于共享威胁情报的标准。 STIX是一种格式化威胁情报的语法，而TAXII是一种标准化的 协议 ，用于分发这些数据（如 HTTP）。 许多威胁情报源使用STIX/TAXII，以确保其数据可以被各种安全工具广泛解释和利用。

Cloudflare是如何发布其威胁情报的？

Cloudflare保护着世界上很大比例的网站（每秒处理 55 万个HTTP请求），使Cloudflare能够分析关于网络流量和攻击模式的大量数据。 这些数据被转换为成品的、可操作的威胁情报，可随时被纳入安全工具（通过STIX/TAXII）。

Cloudflare通过其Cloudforce One服务提供这种威胁情报反馈。 在经验丰富的研究团队的带领下，Cloudforce One破坏了世界各地的网络攻击者。 了解更多关于Cloudforce One。