7.3. 威胁情报

7.3.1. 简介

威胁情报(Threat Intelligence)一般指从安全数据中提炼的，与网络空间威胁相关的信息，包括威胁来源、攻击意图、攻击手法、攻击目标信息，以及可用于解决威胁或应对危害的知识。广义的威胁情报也包括情报的加工生产、分析应用及协同共享机制。相关的概念有资产、威胁、脆弱性等，具体定义如下。

一般威胁情报需要包含威胁源、攻击目的、攻击对象、攻击手法、漏洞、攻击特征、防御措施等。威胁情报在事前可以起到预警的作用，在威胁发生时可以协助进行检测和响应，在事后可以用于分析和溯源。

常见的网络威胁情报服务有黑客或欺诈团体分析、社会媒体和开源信息监控、定向漏洞研究、定制的人工分析、实时事件通知、凭据恢复、事故调查、伪造域名检测等。

在威胁情报方面，比较有代表性的厂商有RSA、IBM、McAfee、赛门铁克、FireEye等。

7.3.2. 相关概念

7.3.2.1. 资产(Asset)

对组织具有价值的信息或资源，属于内部情报，通过资产测绘等方式发现。

7.3.2.2. 威胁(Threat)

能够通过未授权访问、毁坏、揭露、数据修改和或拒绝服务对系统造成潜在危害的起因，威胁可由威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果等多种属性来刻画

7.3.2.3. 脆弱性 / 漏洞(Vulnerability)

可能被威胁如攻击者利用的资产或若干资产薄弱环节。

漏洞存在多个周期，最开始由安全研究员或者攻击者发现，而后出现在社区公告/官方邮件/博客中。随着信息的不断地传递，漏洞情报出现在开源社区等地方，并带有PoC和漏洞细节分析。再之后出现自动化工具开始大规模传播，部分漏洞会造成社会影响并被媒体报道，最后漏洞基本修复。

7.3.2.4. 风险(Risk)

威胁利用资产或一组资产的脆弱性对组织机构造成伤害的潜在可能。

7.3.2.5. 安全事件(Event)

威胁利用资产的脆弱性后实际产生危害的情景。

7.3.3. 情报来源

为了实现情报的同步和交换，各组织都制定了相应的标准和规范。主要有国标，美国联邦政府标准等。

除了国家外，企业也有各自的情报来源，例如厂商、CERT、开发者社区、安全媒体、漏洞作者或团队、公众号、个人博客、代码仓库等。

7.3.4. 威胁框架

比较有影响力的威胁框架主要有洛克希德-马丁的杀伤链框架（Cyber Kill Chain Framework）、MITRE的ATT&CK框架（Common Knowledge base of Adversary Tactics and Techniques）、ODNI的CCTF框架（Common Cyber Threat Framework，公共网空威胁框架），以及NSA的TCTF框架（Technical Cyber Threat Framework，技术性网空威胁框架）。

上一篇：7.2. 安全开发 下一篇：7.4. ​​ATT&CK