何謂威脅情報?

威脅情報泛指資安威脅詳細資料的蒐集、分析及利用,藉此協助企業保護 IT 基礎架構、防範惡意攻擊。

每一天,全球企業都被迫必須面對日益危險而精密資安威脅。威脅情報 (亦稱為資安威脅情報,簡稱 CTI) 是一項強大的工具,可協助網路資安團隊隨時掌握最新動態以及新興的資安威脅、發掘系統的潛在風險或漏洞,並且保護其 IT 網路、企業及商譽。

威脅情報 (CTI) 包含了蒐集及分析來自各種不同來源的資料,進而建立一份關於資安威脅情勢的調查,以及一份有關駭客最新攻擊手法、技巧與程序 (TTP) 的分析。CTI的來源非常廣泛,從公開來源情報 (OSINT) 與入侵指標 (IoC),到內部分析、技術情報、網路攻擊鑑識分析資料、社群媒體來源、商業情報供應商,以及個別裝置的記錄檔。

有別於傳統的資安措施 (如防火牆或惡意程式防護軟體) 是用來對抗進行中的攻擊,威脅情報是讓企業採取更主動的網路資安作法,透過具體、可化為行動、資料驅動的步驟,在網路攻擊發生之前預先加以防範。

威脅情報為何重要?

威脅情報是企業威脅偵測及回應策略不可或缺的一環,能協助網路資安團隊了解駭客集團的心態、方法及動機,進而主動發掘新興威脅、預測最有效的防範步驟,並且在攻擊發生之前預先建置防禦。

此外,威脅情報還能讓企業快速做出明智的決定,當網路攻擊真的發生時,能更快、更果斷地做出回應,不論是遇到網路釣魚詐騙、惡意程式攻擊,或是殭屍網路的襲擊、勒索病毒攻擊、資料外洩、身分威脅、SQL 和 DDoS 攻擊,以及進階持續性滲透攻擊 (APT)。

同時結合主動與被動方法,企業就能強化自己的資安體質、盡可能降低風險、更有效率地回應威脅事件。因此,從大型金融機構與能源公司,到娛樂集團及跨國社群媒體,企業已成功運用威脅情報來保護自己和客戶,防範真實及潛在的資安威脅,並因此省下了數百萬美元的矯正成本。

誰能從威脅情報當中受益?

威脅情報能為任何規模、任何產業領域的企業都帶來效益。包括:想要保護機敏資產和資訊的企業機構、想要利用威脅情報技術來分析和解讀大量原始資料的資安分析師,甚至是仰賴威脅情報來追蹤犯罪集團及調查網路犯罪的執法機關。

對大型企業來說,威脅情報可大幅降低網路資安成本,同時提升資安成效。對於沒有足夠的資金或資源來聘僱專責內部網路資安團隊的中小企業來說,威脅情報提供了一種方法來讓他們優先建置影響最大的資安措施,以防範最大的風險。

此外,有效的威脅情報還能作為企業擬訂策略的參考依據,提供所需的資料與洞見來發掘最可能的威脅、評估威脅對企業營運的潛在衝擊,引導企業做出正確的資安投資。

有別於大多數其他的網路資安工具,威脅情報可經由合作,在企業、資安廠商以及政府機關之間分享。這樣的交流對雙方都有利,讓企業更有效對抗網路威脅、強化集體防禦,甚至領先最狡詐的駭客一步。

威脅情報的五個階段為何?

威脅情報是一個持續不斷的循環流程:每一階段都能作為下一階段的參考與指引,最後一階段則又回饋到第一階段,形成一個「情報、分析、行動」不斷循環的流程。威脅情報的生命週期包含五個主要階段:

1. 規劃
首先,網路資安團隊會與所有主要利害關係人合作,找出他們想要調查的威脅、定義想要達成的目標、列出角色與責任、規劃出任何必須解決的問題或挑戰,並且針對他們想要蒐集的情報制定需求。

2. 資料蒐集
接著,盡可能從各種不同的內部及外部來源蒐集相關的情報資料來回答利害關係人的問題,並完整描繪出主要的風險、漏洞、駭客以及攻擊手法。

3. 資料分析
接下來,所有原始資料都會利用人工智慧 (AI)機器學習 (ML) 工具來加以處理、評估和分析,進而發掘資料當中的任何模式或趨勢、分辨真正的威脅與誤判、指出最可能的攻擊目標和途徑,並且擬定一套計畫來回應任何的資安事件。

4. 散播情報
然後,團隊會與利害關係人分享其結論、洞見與重要建議,以便採取新的措施來防範已發現的威脅,包括:解決 IT 環境發現的任何漏洞、更新或擴大現有的防禦,以及優先投資新的網路資安系統、工具或技術。

5. 持續改進
最後,該團隊會蒐集來自各利害關係人的回饋,評估情報對於防範或防禦針對性資安威脅的成效,並且利用這些資訊來改善整個威脅情報流程,重新回到生命週期的一開始。

每一階段所獲得的情報皆可根據其準確性、即時性與相關性來衡量情報的效果,尤其在預測、準備或防範已知威脅上能為企業帶來多大幫助。

threat-intelligence

威脅情報有哪些類型?

儘管所有威脅情報平台採用的流程都大致相同,但企業仍有許多不同類型的威脅情報可用來協助其資安團隊及強化其資安系統。其中最常見的三種類型是:

  1. 戰略性威脅情報:主要是蒐集和分析非技術性資料,讓高階管理階層綜合掌握網路資安威脅的整體態勢,協助他們制定企業資安策略,並提供關於潛在駭客、駭客目標以及最佳攔截方式的洞見。
  2. 戰術性威脅情報:利用針對性和技術性情報,為網路資安團隊深入分析特定資安威脅、攻擊或駭客可能採取的手法、技巧及程序 (TTP)。
  3. 營運威脅情報:蒐集已知駭客的相關聊天室、IP 位址及暗網網站資料來深入分析某起攻擊的動機、時機及可能的方法,然後提供相關的資訊讓資安團隊來加以對抗。
威脅情報類型示意圖

威脅情報在真實世界的應用範例

威脅情報的效益並非僅止於假設,而是有許多具體且非常有效的真實應用,能協助企業發掘威脅、揭露漏洞、防範攻擊。

比方說,企業可利用威脅情報來作為事件回應計畫的參考依據,以便更快、更有效率、且更有效地回應網路攻擊。此外,正確的情報還能加快事件發生後的復原與矯正速度,並提供建議來避免未來再度發生類似的攻擊。

企業也可直接將威脅情報整合至現有的資安作業當中 (包括威脅偵測及回應策略),協助企業發掘最狡猾的駭客、防範進階持續性滲透攻擊 (APT),甚至主動防範最精密的資安威脅。

哪裡可以取得有關威脅情報的協助?

Trend Micro™ Threat Intelligence 憑藉著 35 年以上的全球威脅研究,能針對新興威脅、漏洞及入侵指標 (IoC) 提供深入的洞察。此外更擁有超過 2.5 億個感測器、450 多名全球專家的研究,以及業界最大的漏洞懸賞計畫 Trend Zero Day Initiative™ (ZDI),因而能提供無可匹敵的情報來支援主動式防護。
這些情報已無縫整合至我們 AI 驅動的 Trend Vision One™ 企業網路資安平台當中,提供豐富的情境來支援 XDR 警報調查與資安曝險管理,讓您能更快做出資料驅動的決策並降低曝險。

相關文章