摘要：威脅情報在網(wǎng)絡安全中的應用是企業(yè)和組織保護其信息資產(chǎn)免受各種威脅的重要手段之一。在網(wǎng)絡安全管理中，利用威脅情報幫助系統(tǒng)及時發(fā)現(xiàn)并阻止惡意行為，提高網(wǎng)絡安全防御能力，了解已知漏洞和安全弱點，減少系統(tǒng)被攻擊的可能性。此外，威脅情報還可以用于網(wǎng)絡安全事件響應和應急響應，幫助組織快速應對安全事件并降低損失，培訓員工了解最新的威脅趨勢和防御技術(shù)，增強其網(wǎng)絡安全意識和應對能力。圍繞威脅情報在網(wǎng)絡安全中的應用展開討論，包括威脅情報的定義、收集和分析方法，以及在網(wǎng)絡安全管理中的具體應用。

關鍵詞：威脅情報；應急響應；安全意識

一、前言

隨著當今網(wǎng)絡安全形勢的日益嚴峻，社會和組織所面臨的網(wǎng)絡安全風險已經(jīng)由以往的單一的點延伸到了某一個面，威脅的廣度、維度和復雜度也在日益加深。規(guī)模和隱蔽性是數(shù)字經(jīng)濟時代網(wǎng)絡安全攻擊最明顯的特點，常規(guī)的網(wǎng)絡安全防御手段和機制已經(jīng)難以滿足和應對當下的網(wǎng)絡威脅。面對此類環(huán)境，以威脅情報為基礎而建立的全域網(wǎng)絡安全防御理念已逐步成型。威脅情報也稱為“網(wǎng)絡威脅情報”（CTI），是詳細描述針對組織的、來自網(wǎng)絡安全領域的風險源及威脅點，并通過數(shù)據(jù)科學等系列手段形成可供決策的情報參考。

二、威脅情報的基本概述

威脅情報是指對網(wǎng)絡威脅和攻擊進行收集、分析和解釋的信息，包括各種來源的數(shù)據(jù)，例如安全日志、網(wǎng)絡流量分析、惡意軟件樣本、漏洞信息、黑客活動情報等。這些數(shù)據(jù)經(jīng)過處理和分析后，可以提供關于威脅行為、攻擊手段、攻擊者意圖以及可能的威脅來源等方面的信息。威脅情報能夠幫助組織及時發(fā)現(xiàn)潛在的或準備實施的網(wǎng)絡威脅，構(gòu)建決策機制，系統(tǒng)全面地圍繞風險各要素、各環(huán)節(jié)搭建清晰的風險鏈。

得益于數(shù)字技術(shù)的發(fā)展，當今世界比以往任何時候都更加互聯(lián)。但這種增加的連接性也帶來網(wǎng)絡攻擊的風險增加，例如，安全漏洞、數(shù)據(jù)盜竊、惡意軟件和電信詐騙，面對如此多的不確定性，應對和緩解以上風險挑戰(zhàn)的一個關鍵方面就是威脅情報。在數(shù)字安全術(shù)語中，“威脅”是一種惡意行為和潛在攻擊行為，可能導致數(shù)據(jù)在未經(jīng)許可的情況下被盜、丟失或更改。威脅情報能夠協(xié)助組織有針對性地采取行動，形成響應決策，而不單是提供數(shù)據(jù)，每一條威脅情報都必須引起足夠的關注，通過研判和歸類威脅情報有助于檢測和預防攻擊。

基于對威脅情報的識別，組織內(nèi)可較為準確、系統(tǒng)地形成網(wǎng)絡空間內(nèi)針對某一特定組織或行業(yè)的潛在威脅，并決策其阻斷路徑和隱患消除方法。與此同時，網(wǎng)絡威脅情報也會基于開源情報等來源綜合研判當前所面臨的網(wǎng)絡威脅程度，其在決策階段所采集的威脅源數(shù)據(jù)可作為組織內(nèi)蜜罐系統(tǒng)、軟硬件防火墻及入侵檢測系統(tǒng)的輸入，形成“網(wǎng)絡風險威脅畫像”[1]，使得組織能夠全方位、多維度地保護數(shù)字資產(chǎn)。

三、威脅情報的類型

網(wǎng)絡安全威脅情報按照網(wǎng)絡安全攻擊側(cè)重可將其為五類，分別是技術(shù)威脅情報、戰(zhàn)術(shù)威脅情報、情報源威脅情報、情報目標威脅情報、戰(zhàn)略威脅情報。技術(shù)威脅情報主要關注網(wǎng)絡安全事件中使用的具體技術(shù)、工具和方法，包括惡意軟件樣本、攻擊代碼、網(wǎng)絡流量分析、漏洞信息等，可以幫助組織了解攻擊者的技術(shù)手段和攻擊路徑，從而采取相應的防御措施。戰(zhàn)術(shù)威脅情報關注攻擊者的戰(zhàn)術(shù)行為和攻擊模式，包括攻擊者的入侵方式、橫向移動路徑、數(shù)據(jù)竊取方法等信息，可以幫助組織了解攻擊者的攻擊策略，及時發(fā)現(xiàn)和阻止攻擊活動。情報源威脅情報主要關注威脅情報的來源和信譽度，包括對情報來源的評估、信譽度分析、威脅情報服務供應商的評價等，可以幫助組織選擇可信賴的情報來源，獲取高質(zhì)量的威脅情報信息。情報目標威脅情報關注攻擊目標和受害者，包括攻擊目標的行業(yè)、組織類型、網(wǎng)絡拓撲結(jié)構(gòu)等信息，可以幫助組織評估自身的安全風險，采取針對性的安全防御措施。戰(zhàn)略威脅情報主要關注威脅趨勢和長期安全策略，包括行業(yè)趨勢分析、威脅預測、安全建議等信息，可以幫助組織制定長期的安全規(guī)劃和策略，提高整體網(wǎng)絡安全水平。

四、威脅情報獲取的必要性和意義

網(wǎng)絡安全威脅隨時都會發(fā)生變化，同時及時獲取并了解威脅行為者及其不斷變化的策略、技術(shù)和流程 （TTP），從而集中關注與組織相關度最高的威脅，并將數(shù)據(jù)分析轉(zhuǎn)化為行動，利用這些數(shù)據(jù)洞見主動設立防御機制，高效搜尋威脅，并在最短的時間內(nèi)響應新威脅。

網(wǎng)絡威脅情報可以防止數(shù)據(jù)丟失，關于網(wǎng)絡威脅情報，業(yè)界的普遍定義是：威脅情報是一種基于證據(jù)的知識，包括關于現(xiàn)有或新出現(xiàn)的資產(chǎn)威脅或危害的背景、指標、含義、機制和可操作的建議，可用于為主體對該威脅或危害的響應決策提供信息。威脅情報具有廣泛的應用場景，是一種主動的網(wǎng)絡安全防御手段，通過風險概況可提升威脅搜尋的價值，以便于主動跟蹤和抵御威脅。威脅情報可以幫助識別入侵指標、提供入侵情報、驗證和分析入侵指標，從而幫助組織更好地應對入侵威脅，保障網(wǎng)絡安全。

威脅情報是通過對各種數(shù)據(jù)源的收集、分析和解釋得到的信息，包括安全日志、網(wǎng)絡流量分析、惡意軟件樣本、黑客活動情報等。這些數(shù)據(jù)源中包含入侵事件的相關信息，例如，入侵者的攻擊手段、攻擊目標、攻擊路徑等。

通過接入安全信息和事件管理系統(tǒng)（SIEM），可以實現(xiàn)對威脅情報資源的高效管理，其中，經(jīng)篩選的威脅情報能夠與警報關聯(lián)起來[2]，更有效地確定高優(yōu)先級威脅，持續(xù)增強組織的突發(fā)事件響應 （IR）和取證能力。

網(wǎng)絡安全威脅情報能夠深入分析網(wǎng)絡威脅[3]，組織可根據(jù)多個來源的數(shù)據(jù)集，圍繞威脅現(xiàn)狀、威脅行為者及其策略、技術(shù)和流程（TTP）制定應對策略，讓組織在對抗威脅行為者時，實現(xiàn)從被動應對到主動出擊的轉(zhuǎn)變。

五、威脅情報在網(wǎng)絡安全中的應用優(yōu)勢

隨著互聯(lián)網(wǎng)經(jīng)濟和數(shù)字經(jīng)濟的不斷發(fā)展和深入，大力加強數(shù)字政府網(wǎng)絡安全綜合防御體系建設為數(shù)字政府和數(shù)字經(jīng)濟保駕護航，打造網(wǎng)絡安全防護共同體已成為系統(tǒng)工程。威脅情報在網(wǎng)絡安全中的應用優(yōu)勢在于提供及時、精準、全面的安全信息[4]，幫助組織預警和預防安全威脅，實現(xiàn)快速響應和有效防御，持續(xù)優(yōu)化安全防御策略，從而提升整體網(wǎng)絡安全水平。

（一）實時威脅感知

威脅情報可以提供實時的威脅感知能力，幫助組織及時發(fā)現(xiàn)并識別各種網(wǎng)絡威脅。通過監(jiān)控網(wǎng)絡流量、分析安全日志以及收集威脅情報信息，組織可以在威脅出現(xiàn)之初就做出反應，避免安全事件擴大和造成更大的影響。

（二）針對性防御策略

威脅情報可以幫助組織制定針對性的安全防御策略。通過分析威脅情報數(shù)據(jù)，組織可以了解攻擊者的攻擊手段、攻擊目標和攻擊路徑，從而調(diào)整安全防御措施，增強對特定威脅的防御能力，提高安全防護的精準度和有效性。

（三）威脅情報共享與合作

威脅情報可以通過與其他組織或安全機構(gòu)進行共享和合作，獲取更多的威脅情報信息。這種合作可以幫助組織更好地了解當前的威脅態(tài)勢，及時分享安全情報，共同應對更復雜的網(wǎng)絡威脅，提高整個行業(yè)的網(wǎng)絡安全水平[3]。

（四）安全事件響應能力

威脅情報可以提高組織的安全事件響應能力。通過分析威脅情報數(shù)據(jù)，組織可以快速定位并應對安全事件，減少安全事件造成的損失和影響。威脅情報還可以幫助組織進行后續(xù)的安全事件調(diào)查和溯源，以便徹底清除威脅并防止類似事件再次發(fā)生。

（五）持續(xù)性安全優(yōu)化

威脅情報可以幫助組織持續(xù)優(yōu)化安全防御策略和措施。通過分析威脅情報數(shù)據(jù)和安全事件響應結(jié)果，組織可以不斷學習和改進安全防御策略，及時調(diào)整防御措施，提高對新型威脅的應對能力和適應性，保障網(wǎng)絡安全的持續(xù)穩(wěn)定性。

（六）合規(guī)性和證據(jù)收集

威脅情報可以幫助組織滿足安全合規(guī)性要求，并提供安全事件的證據(jù)收集。通過記錄和分析威脅情報數(shù)據(jù)，組織可以及時發(fā)現(xiàn)并證實安全事件，為安全事件的調(diào)查和解決提供有力的證據(jù)支持，保障安全事件處理的合規(guī)性和公正性。

六、威脅情報的生命周期

威脅情報的生命周期是指從源數(shù)據(jù)采集、識別、清洗、篩選、提煉等過程中最終形成的可供決策和參考的有價值情報的可溯源的過程。

（一）目標選定

在威脅情報開始時，威脅分析師會與CISO和安全團隊商定優(yōu)先情報需求（PIR）。在國外，國防部門將PIR定義為“一種與決策相關的情報要求”，該決策將直接影響軍事任務的整體進展。從網(wǎng)絡安全的角度來看，PIR可以與保護關鍵業(yè)務系統(tǒng)免受對手針對行業(yè)或地區(qū)的攻擊相一致。

此階段的重點是為威脅情報計劃設定目標，可能包括：第一，梳理組織內(nèi)的架構(gòu)，并識別其薄弱點，標識出需要保護的部位并進行優(yōu)先級排序。第二，選擇適用于組織的威脅情報，按照優(yōu)先級對組織過程資產(chǎn)進行保護。第三，了解網(wǎng)絡安全風險事件對組織的影響。

（二）威脅收集

收集階段是威脅情報生命周期中的第一步，需要確保從多樣化的數(shù)據(jù)源中收集到高質(zhì)量、準確、及時的威脅信息，為后續(xù)的處理、分析和利用打下堅實的基礎。這一階段的工作重點是確定數(shù)據(jù)源、數(shù)據(jù)規(guī)范化和整合、清理、過濾，以及數(shù)據(jù)存儲和管理。

同時，需要考慮數(shù)據(jù)的保密性、合規(guī)性，以及有效的數(shù)據(jù)管理策略，以確保整個收集過程的安全和有效性。

（三）處理與分析

處理與分析階段是威脅情報生命周期中至關重要的一部分，它涉及對收集到的威脅信息進行深入研究、分析和解釋，以便識別威脅指標和攻擊模式。在這一階段首先需要對收集到的數(shù)據(jù)進行準備工作，包括清洗數(shù)據(jù)、格式化數(shù)據(jù)、去除重復項等操作，以確保數(shù)據(jù)的質(zhì)量和一致性。接下來，將不同來源的數(shù)據(jù)進行整合和關聯(lián)，形成完整的數(shù)據(jù)集，并使用統(tǒng)計分析、機器學習算法、數(shù)據(jù)挖掘等技術(shù)對數(shù)據(jù)進行深入分析，以發(fā)現(xiàn)數(shù)據(jù)中隱藏的模式、趨勢和關聯(lián)關系。

在此過程中，重點是識別威脅指標。這些指標可以是異常的網(wǎng)絡流量模式、異常的登錄行為、未經(jīng)授權(quán)的訪問嘗試、異常的系統(tǒng)行為等，可能表明網(wǎng)絡已經(jīng)遭受入侵或正在受到入侵威脅。同時，還會對攻擊模式進行深入分析，豐富威脅情報信息，例如，添加上下文信息、實時威脅情報更新等，以提高威脅情報的價值和可用性。

（四）評估與篩選

評估與篩選階段需要結(jié)合專業(yè)的安全分析人員和科學的評估標準，對經(jīng)過處理和分析的威脅情報進行綜合評估和篩選，確保最有價值和可信度的威脅情報能夠及時、準確地傳遞給相關的安全團隊和機構(gòu)，為安全防御工作提供有效的支持和指導。對經(jīng)過處理和分析的威脅情報進行評估，考慮其信息的來源、可信度、時效性等因素，并將其根據(jù)重要性和緊急性進行分級、分類，在信息分類的基礎上，對不同級別的威脅情報進行進一步的篩選和過濾，對篩選出的威脅情報進行合并和補充，將不同來源、不同時間點的信息進行整合，形成更全面和完整的威脅情報數(shù)據(jù)集。

（五）發(fā)布與分享

發(fā)布與分享階段需要確保威脅情報信息能夠安全、有效地傳遞給相關方，并與其他組織或安全合作伙伴進行合作與協(xié)作，共同提高網(wǎng)絡安全的整體水平。同時，通過安全培訓和意識提升活動，加強組織內(nèi)部員工對威脅情報的理解和應對能力，為安全防御工作提供更加堅實的基礎。

在發(fā)布與分享階段開始之前，需要準備安全情報報告，包括識別的威脅指標、攻擊模式分析、威脅情報建議等內(nèi)容，為后續(xù)的安全防御工作提供重要參考和指導。 針對安全情報的發(fā)布和分享，通常會配置安全情報共享平臺，可以是內(nèi)部的安全情報共享平臺，也可以是外部安全合作伙伴的安全情報共享平臺，確保信息能夠安全、有效地傳遞給相關方。安全情報團隊會根據(jù)安全情報報告和安全情報共享平臺的配置，將篩選出的威脅情報信息進行發(fā)布和傳遞，同時會持續(xù)更新安全情報，監(jiān)控威脅態(tài)勢的變化，通過安全培訓和意識提升活動，向組織內(nèi)部的員工傳遞安全情報知識和技能，提高員工對威脅情報的理解和應對能力，加強整體的網(wǎng)絡安全防御。

（六）應用與響應

這是整套威脅情報應用體系中至關重要的一環(huán)，涉及將收集、處理、評估、篩選后的威脅情報應用到實際的安全防御工作中，并作出相應的安全響應。

首先是更新安全規(guī)則和策略，將識別的威脅指標和攻擊模式應用到安全設備（如防火墻、入侵檢測系統(tǒng)、安全信息和事件管理系統(tǒng)）中，加強對潛在威脅的檢測和阻斷能力，根據(jù)威脅情報中的漏洞信息，及時部署安全補丁和更新，修復系統(tǒng)和應用程序中的安全漏洞，減少攻擊面。

其次是應用威脅情報后，安全團隊需要針對已經(jīng)發(fā)生或正在發(fā)生的安全事件，進行及時的應急響應，包括隔離受感染的系統(tǒng)、恢復受損的數(shù)據(jù)、追蹤攻擊者行為等，對安全響應過程進行總結(jié)和反饋，識別存在的問題和改進的機會，持續(xù)改進安全防御和響應能力。

最后是與其他組織或安全合作伙伴的協(xié)同合作。安全團隊可以通過安全情報共享平臺或安全合作協(xié)議，共享威脅情報信息，加強跨組織的安全防御和響應能力。

七、與零信任模型的融合應用

零信任模型與威脅情報應用相結(jié)合，可以幫助降低網(wǎng)絡安全事件的影響，提高網(wǎng)絡安全防御的效果[5]。

零信任模型在應用威脅情報時，可以基于威脅情報的分析結(jié)果，對網(wǎng)絡中的訪問進行更加精細化的控制，對訪問、操作和安全事件進行記錄和分析，通過實時監(jiān)控與威脅情報相關的數(shù)據(jù)流量和行為，及時發(fā)現(xiàn)異?；顒雍凸粜袨?，并采取快速響應措施，更適時進行動態(tài)調(diào)整，更新訪問策略和權(quán)限，限制或阻止與威脅相關的訪問請求，有效減少網(wǎng)絡安全事件的影響范圍。

在多層防御與隔離方面，零信任模型倡導多層次的防御和隔離措施。在應用威脅情報時，可以結(jié)合多種安全技術(shù)和措施，包括防火墻、入侵檢測系統(tǒng)、終端安全軟件、網(wǎng)絡隔離等，形成多層次的安全防御體系，有效降低網(wǎng)絡安全事件的影響和傳播。

八、結(jié)語

當前，網(wǎng)絡安全形勢和環(huán)境日趨復雜，網(wǎng)絡空間安全已成為國家安全的重要領域，尤其是在當前數(shù)字政府建設中，網(wǎng)絡安全與數(shù)據(jù)安全的重要性和緊迫性日益凸顯。通過將威脅情報應用于網(wǎng)絡安全領域中，可有效識別其潛在風險，及時制定和規(guī)劃應對措施，提升我國網(wǎng)絡安全整體保護能力和水平。

參考文獻

[1]賈美明.大數(shù)據(jù)背景下計算機信息技術(shù)在網(wǎng)絡安全中的運用[J].科技資訊，2024，22（01）：30-33.

[2]歐陽洛奇.歐盟威脅應對中的“全政府-全社會”路徑——基于情報合作的分析[J].情報雜志，2024，43（03）：39-44+16.

[3]肖萌，路超，田珊珊，等.蜜罐及威脅情報技術(shù)在市場監(jiān)督管理網(wǎng)絡安全防御中的應用[C]//中國計算機學會.第38次全國計算機安全學術(shù)交流會論文集.中國合格評定國家認可中心，國家市場監(jiān)督管理總局信息中心，2023.

[4]]葉桓榮，李牧遠，姜波.基于遷移學習和威脅情報的DGA惡意域名檢測方法研究[J].信息網(wǎng)絡安全，2023，23（10）：8-15.

[5]于豐瑞.網(wǎng)絡威脅技戰(zhàn)術(shù)情報自動化識別提取研究綜述[J/OL].計算機工程與應用，1-27[2024-03-19].http：//kns.cnki.net/kcms/detail/11.2127.tp.20240227.1705.002.html.

作者單位：江西省地質(zhì)局核地質(zhì)大隊

■ 責任編輯：張津平、尚丹