威胁检测有时与威胁情报交替使用，但两者的含义并不相同。威胁检测是对数据进行被动监控，以发现潜在的安全问题。其重点是在安全漏洞发生之前、期间或之后发现和识别威胁。威胁可能是恶意软件样本中的一个字符串、不寻常部分的网络连接、网络流量的意外激增或下降，或者是保存到临时目录中的可执行文件。数据泄露检测工具分析用户、数据、应用程序和网络行为，以发现异常活动。入侵检测系统就是 威胁检测工具 的一个例子。

概述

什么是网络威胁情报？威胁情报也被称为网络安全情报，是有关针对组织网络、设备、应用程序和数据的犯罪活动的循证信息。它让企业更好地了解过去、现在和未来的网络危险。它包括机制、背景、影响、指标，以及关于新出现或现有信息资产危害的以行动为导向的建议。

威胁情报信息可以指导企业确定哪些网络资产面临最大的攻击风险，以及攻击会对哪些方面造成最严重的影响。它为企业提供所需的知识，使其了解需要保护哪些信息资产、保护这些资产的最佳手段以及最合适的缓解工具。威胁情报可提供准确、相关、可操作、及时和知情决策所需的背景信息。

作为一个概念，威胁情报很容易理解。然而，收集所需信息并对其进行分析的难度要大得多。有可能危及或削弱企业信息技术的威胁数量庞大，令人防不胜防。

威胁情报收集的一些信息包括：你的漏洞是什么、谁在攻击你、他们的动机是什么、他们的能力是什么、他们会对你的信息资产造成什么损害，以及你应该注意哪些入侵迹象。

OpenText™ Core Behavioral Signals可为您提供有关基础设施、财务和声誉所面临的最严重威胁的信息。有了这些，您就可以建立防御机制，制定行之有效的风险缓解措施。

威胁情报

威胁情报为何重要

威胁情报工具可从多个来源读取有关现有和新出现威胁以及威胁行为者的原始数据。对数据进行分析和过滤后，可开发出可供自动安全解决方案使用的情报反馈和报告。为什么这很重要？

获取组织所需的信息，以保护自身免受威胁和攻击。
随时了解坏人、各种漏洞、攻击方法、零日漏洞利用和高级持续性威胁带来的风险。
以结构化的方式处理跨越众多参与者和非连接系统的大量内部和外部威胁数据。
避免误报。
最大限度地减少数据泄露及其带来的财务、声誉和合规成本。
掌握识别最有可能发挥作用的安全工具所需的知识。
网络安全团队和分析人员可以对未来的威胁保持前瞻性，同时避免处理大量未经处理、未分优先级的原始数据所带来的负担。
让领导者、用户和利益相关者了解最新的威胁以及这些威胁可能对组织造成的影响。
及时提供决策者可以理解的背景信息。

威胁情报对于网络与全球网络连接的任何人来说都是至关重要的，而如今几乎所有的组织都是如此。防火墙和其他安全系统固然重要，但它们并不能取代企业随时了解危及其信息系统的威胁的需要。当今网络攻击的多样性、复杂性和可扩展性使得威胁情报变得至关重要。

威胁情报生命周期

威胁情报不是一个由清单驱动的端到端流程。它是持续的、循环的、迭代的。一个组织永远不可能在某一时刻识别并消除所有潜在威胁。

威胁情报生命周期是对威胁环境不断变化的认识。避免一次袭击或危机并不意味着工作已经完成。你必须立即思考、预测并准备下一次。新的差距和问题会不断出现，需要新的情报需求。

威胁情报生命周期包括以下步骤。

规划- 确定数据收集的要求。提出具体的问题，这些问题将引导你朝着正确的方向前进，并旨在生成可操作的信息。确定谁是威胁情报的最终消费者。
收集- 从可靠来源收集原始威胁数据。可靠的信息来源可能包括系统审计跟踪、以往的事件、内部风险报告、外部技术来源和更广泛的互联网。
处理- 整理原始数据，为分析做好准备。放置元数据标签，更容易消除冗余信息、误报和误报。SIEM可以为这种组织提供便利。它们使用相关规则为不同的使用情况构建数据。
分析--分析阶段是威胁情报与基本信息收集和传播的区别所在，因为在这一阶段，你要对数据进行分析。对处理过的信息应用结构化分析技术，量化威胁。这将产生威胁情报信息，供工具和分析人员扫描，以确定入侵迹象。入侵迹象包括可疑的 IP 地址、URL、电子邮件、电子邮件附件、注册表键值和哈希值。
传播--威胁情报要在正确的时间传递给正确的人，才能发挥作用。利用预定义的内部和外部沟通渠道，与相关利益攸关方分享分析结果。以目标受众更容易理解的形式传播信息。这可能包括从威胁清单到同行评审报告。在大型组织中，威胁检测和缓解是涉及多个团队的集体工作。让每个人都参与其中，以发掘新的见解、解决方案和机遇。
集成- 将可操作的威胁情报集成到工作流程、事件响应计划和票务系统中。
教训- 分析情报，以吸取长期教训和更广泛的影响。对政策、程序、流程、基础设施和配置进行适当修改。
反馈- 审查行动并确认威胁是否已被阻止或遏制。

网络安全威胁和威胁情报的类型

网络安全威胁和威胁情报可根据业务要求、情报来源和目标受众进行分类。在这方面，网络安全威胁和威胁情报有三种类型。

战略威胁情报

这些是广泛或长期的趋势或问题。审查战略威胁往往是高层非技术受众（如 Csuite 高管）的专利。战略威胁情报可提供有关威胁能力和意图的鸟瞰图，从而做出知情决策并及时发出警告。

战略威胁情报的来源包括新闻媒体、专题专家、非政府组织政策文件、安全白皮书和研究报告。

战术威胁情报

战术威胁情报通过日常的情报活动和行动来处理危害指标，从而为威胁行动者的程序、技术和战术提供结构。这是针对技术性较强的受众（如安全专业人员、系统架构师和网络管理员）的情报。

战术威胁情报让组织更深入地了解它们可能受到攻击的方式，以及针对这些攻击的最佳防御措施。安全供应商和企业网络安全顾问的报告通常是战术威胁情报的主要来源。

行动威胁情报

行动威胁情报也称为技术威胁情报。它非常专业，技术性很强。它涉及特定的攻击、恶意软件、工具或活动。

行动威胁情报的形式可以是取证威胁情报报告、威胁数据馈送或截获的威胁组织通信。它让事件响应团队深入了解特定攻击的时间、性质和意图。

什么是威胁检测？

威胁检测有时与威胁情报交替使用，但两者的含义并不相同。威胁检测是对数据进行被动监控，以发现潜在的安全问题。

其重点是在安全漏洞发生之前、期间或之后发现和识别威胁。威胁可能是恶意软件样本中的一个字符串、不寻常部分的网络连接、网络流量的意外激增或下降，或者是保存到临时目录中的可执行文件。

数据泄露检测工具分析用户、数据、应用程序和网络行为，以发现异常活动。入侵检测系统就是威胁检测工具的一个例子。

威胁情报和威胁检测如何协同工作

威胁检测系统通常使用来自H-ISAC 等各种社区的威胁情报来检测网络流量。他们部署了自定义警报和事件通知。威胁检测工具可以监控不同来源的日志，并针对不同环境进行定制。

因此，一旦检测到威胁，就会发出警报。通常情况下，人类会进行干预，查看威胁情况，确定发生了什么，并采取适当的行动。

用正确的工具获取正确的威胁情报

当今的组织面临着攻击者的威胁，他们可能有数百万种方法获得未经授权的访问并造成破坏。此外，威胁的规模、复杂程度和复杂性也在不断增加。这意味着，最好假定攻击者会突破防线，尽管你和你的组织已经尽了最大努力。建立适当的物理和逻辑控制措施可以大大降低攻击成功的几率。

威胁情报是及时有效地检测和应对威胁所不可或缺的，也是了解和防范潜在网络安全威胁的必要因素。您的团队和组织对潜在威胁的了解越深入，就越有能力制定功能性应对措施并对其进行优先排序，以及快速发现威胁。

即使对小型企业来说，威胁情报也是一项艰巨而耗时的工作。幸运的是，市场上有许多威胁情报工具可以提供帮助。但并不是所有的人都是一样的。作为网络安全领域公认的全球领导者，OpenText 为您的组织提供所需的正确工具，帮助其快速生成有意义、可操作的动态威胁情报。