什么是威胁情报？

什么是网络安全中的威胁情报？

威胁情报是有关组织可能面临的潜在攻击以及如何检测和阻止这些攻击的信息。执法部门有时会分发带有嫌疑人信息的“通缉”海报；同样，网络威胁情报包含有关当前威胁是什么样子以及它们来自何处的信息。

在数字安全术语中，“威胁”是一种恶意行为，可能导致数据在未经许可的情况下被盗、丢失或更改。该术语指的是潜在的和实际的攻击。威胁情报使组织能够针对威胁采取行动，而不仅仅是提供数据。每一条威胁情报都有助于检测和预防攻击。

某些类型的威胁情报可以输入防火墙、Web 应用程序防火墙 (WAF)、安全信息和事件管理 (SIEM) 系统以及其他安全产品，使它们能够更有效地识别和阻止威胁。其他类型的威胁情报更为通用，可帮助组织做出更大的战略决策。

威胁情报的三种主要类型是什么？

大多数威胁情报符合以下三类中的一类：

1. 战略情报描述整体趋势和长期问题。它还可以包括已知攻击者的动机、目标和方法。
2. 行动情报描述攻击者使用的战术、技术和程序 (TTP)——例如，攻击者使用哪些恶意软件工具包或漏洞工具包，他们的攻击来自哪里，或他们通常遵循哪些步骤来发动攻击。
3. 战术情报是有关威胁的具体实地细节；它让组织能够具体识别威胁。恶意软件特征码和入侵指标 (IoC) 是战术情报的示例。这两个术语将在下文中进行进一步解释。

什么是恶意软件特征码？

特征码是可以识别恶意软件的独特模式或字节序列。与指纹用于识别犯罪嫌疑人的方式相同，特征码有助于识别恶意软件。

特征码检测是最常见的恶意软件分析形式之一。为了有效，特征码检测需要不断更新最新的恶意软件特征码。

什么是入侵指标 (IoC)？

入侵指标 (IoC) 是指有助于识别攻击是否已经发生或正在进行的数据。IoC 就像是一件物证，侦探可能会收集物证用于确定谁出现在犯罪现场。同样地，某些数字证据（日志记录中的异常活动、流向未经授权的服务器的网络流量等）有助于管理员确定何时发生了（或当前正在发生）攻击以及攻击类型。

如果没有 IoC，有时可能很难确定是否发生了攻击；保持不被发现通常有利于攻击者（例如，如果他们想在僵尸网络中使用受感染的设备）。

什么是威胁情报源？

威胁情报源是指威胁情报数据的外部流。与博客的 RSS 源一样，企业可以订阅威胁情报源，为其系统提供持续的安全更新。

一些威胁情报源是免费的；其他则需要花钱，而且会提供从开放来源无法获得的专有情报。

Cloudflare 收集威胁情报的方法有何独特之处？

Cloudflare 具有独特的优势，可以大规模收集有关威胁的信息。数百万个网站受到 Cloudflare 网络的保护。通过分析进出这些网站的流量，Cloudflare 可以识别来自机器人、漏洞利用和其他攻击的恶意流量模式。

Cloudflare 使用此信息来更好地保护客户。例如，Cloudflare 创建 WAF 规则并在检测到新威胁时为所有 WAF 客户部署它们。Cloudflare 机器人管理使用从 Cloudflare 每天所见的数十亿个请求中获得的威胁情报来学习识别恶意机器人。

要了解有关网络威胁的更多信息，请参阅什么是 Web 应用程序安全？