威脅情報是指蒐集、分析及利用有關網絡威脅的詳細資料,協助企業保護資訊科技基礎架構,防範惡意攻擊。
每天,全球企業都被迫面對日益危險、日益精密的網絡威脅。威脅情報(又稱為網絡威脅情報,簡稱 CTI)是一項強大的工具,可協助網絡資訊保安團隊隨時掌握最新動態並掌握最新及新興的網絡資訊保安威脅、發掘系統內的潛在風險或漏洞,並且保護資訊科技網絡、企業及商譽。
威脅情報包括蒐集及分析來自各種來源的情報,進而建立一份網絡資訊保安威脅情勢調查,並建立一份最新的策略資料, 技巧和程序。威脅情報的來源從開放原始碼情報(OSINT)與入侵指標到內部分析, 技術情報、 網絡攻擊鑑識資料、 社群媒體來源、 商業情報供應商、 以及個別裝置記錄檔。
有別於傳統資訊保安措施,如防火牆或惡意程式防護軟件,能防範已經在發動的攻擊,威脅情報可讓企業採取更主動的網絡資訊保安方法,採取具體、可行、資料導向的措施來防範網絡攻擊。
威脅情報是企業威脅偵測與回應策略的重要一環,能協助網絡資訊保安團隊了解網絡犯罪集團的心態、方法及動機,進而主動發掘新興威脅、預測如何防範威脅,並且在攻擊發生之前預先實施防禦。
此外,威脅情報還能讓企業快速做出明智的決策,在網絡攻擊發生時能更快、更果斷地作出回應,從網絡釣魚詐騙、惡意程式攻擊到殭屍網絡攻擊、勒索程式攻擊、資料、身份威脅、SQL 和 DDoS 攻擊,以及進階持續性威脅。
結合主動與被動方式,企業就能強化自己的資訊保安狀況、盡可能降低風險,並且更有效率地回應威脅事件。因此,從大型金融機構與資源公司,到娛樂集團以及跨國社交媒體公司,企業都已經成功運用威脅情報來保護自己和客戶,防範真實及潛在的網絡威脅,從而可能節省了數百萬美元的修正成本。
威脅情報能為任何規模、任何產業的經濟帶來效益。包括試圖保護自身敏感資產和資訊的機構、使用威脅情報技術來分析和解讀大量原始資料的安全分析師,甚至是依賴威脅情報來追蹤犯罪集團並調查網絡罪行的執法機關。
對大型企業來說,威脅情報可大幅降低網絡資訊保安成本,同時提升資訊保安成效。對於缺乏資金或資源來聘請專責內部網絡資訊保安團隊的中小企業來說,威脅情報提供了一種方法來優先處理高衝擊的資訊保安措施,進而降低其最大風險。
此外,有效的威脅情報也能協助企業掌握企業策略,提供所需的資料與啟示來發掘最可能的威脅,評估企業營運的潛在衝擊,並妥善引導資訊保安投資。
有別於絕大多數其他網絡資訊保安工具,威脅情報可以由企業、網絡資訊保安廠商以及政府機關共同分享。這樣的交換能帶來共同效益,讓企業更有效對抗網絡威脅、強化集體防禦,甚至領先最惡意的黑客一步。
威脅情報是一個持續不斷的週期性流程:每個階段都會通知並引導下一步,而最後一階段則是回歸第一階段的持續不斷情報、分析與行動。威脅情報生命週期包含五個主要階段:
1. 規劃
首先,網絡資訊保安團隊會與所有主要持份者合作,找出他們想要調查的威脅、定義他們想要達成的目標、列出角色與責任、規劃任何必須解決的問題或挑戰,並且建立他們想要蒐集情報的要求。
2. 資料蒐集
接下來,我們將盡可能從各種不同的內部與外部來源蒐集相關的情報資料,以回答持份者的問題,並完整描繪主要的風險、漏洞、黑客及攻擊手法。
3. 資料分析
接著,所有原始資料都會利用人工智能和機器學習工具來處理、評估和分析,進而發掘資料的任何模式或趨勢、分辨真正的威脅與誤判、突顯最可能的攻擊目標和途徑,並擬定一套如何回應任何資訊保安事件的計劃。
4. 情報散播
然後,團隊會與持份者分享其結論、啟示與重要建議,以便採取新的措施來防範已發現的威脅。包括解決資訊科技環境所發現的任何漏洞、更新或擴大現有防禦,以及優先考慮新的網絡資訊保安系統、工具或技術投資。
5. 持續改進
最後,團隊會蒐集來自各持份者的回饋,評估情報在預防或防範針對性網絡資訊保安威脅方面的成效,並利用這些資訊來改善整個威脅情報流程,然後整個週期會重新開始。
每個階段所傳遞情報的成效可從準確性、即時性及相關性等方面來衡量,尤其在情報如何協助企業預測、準備或防範已知威脅方面。
儘管所有威脅情報平台都採用相同的一般流程,但企業仍有許多不同類型的威脅情報可以用來通知其資訊保安團隊並強化其資訊保安系統。其中最常見的三種類型是:
哪裡可以取得威脅情報的協助?
趨勢科技威脅情報憑著 35 多年的全球威脅研究,針對新興威脅、漏洞及入侵指標資料提供深入的啟示。Trend ZDI 漏洞懸賞計劃™ (ZDI) 擁有超過 2.5 億個感測器、全球 450 多名專家的研究,以及業界最大的漏洞懸賞計劃,為主動防護提供了無可匹敵的情報。
無縫整合至我們 Trend Vision One™ 人工智能驅動的企業網絡資訊保安平台,讓 XDR 警示調查與網絡風險曝險管理更加豐富,更快作出資料導向的決策,同時降低風險暴露。