威脅偵測有時會與威脅情報交替使用，但兩者的意思並不相同。威脅偵測是被動監控資料，以找出潛在的安全問題。它著重於在安全漏洞發生之前、期間或之後發現和識別威脅。威脅可能是惡意軟體樣本中的一個字串、不尋常部分的網路連線、網路流量的意外激增或下降，或是儲存到臨時目錄的可執行檔案。資料外洩偵測工具會分析使用者、資料、應用程式和網路行為，以找出異常活動。入侵偵測系統是 威脅偵測工具 的一個範例。

概述

什麼是網路威脅情報？威脅情報也稱為網路安全情報，是以組織網路、裝置、應用程式和資料為目標的犯罪活動的實證資訊。它讓企業更了解過去、現在和未來的網路危機。它包括機制、背景、影響、指標，以及針對資訊資產新出現或現有危害的行動導向建議。

威脅情報資訊可引導企業判斷哪些網路資產面臨最大的攻擊風險，以及攻擊會對哪些方面造成最嚴重的影響。它提供企業所需的知識，讓他們知道要保護哪些資訊資產、保護資訊資產的最佳方式，以及最適當的緩解工具。威脅情報提供準確、相關、可執行、及時和知情決策所需的情境。

作為一個概念，威脅情報很容易理解。然而，要收集所需的資訊並進行分析，就顯得更具挑戰性。大量的威脅可能會危及或削弱企業的資訊技術，令人感到無所適從。

威脅情報收集的部分內容包括：您的弱點是什麼、誰在攻擊您、他們的動機是什麼、他們的能力是什麼、他們可能對您的資訊資產造成什麼損害，以及您應該注意哪些危害指標。

OpenText™ Core Behavioral Signals可為您提供有關基礎結構、財務和聲譽所面臨的最嚴重威脅的資訊。有了這些，您就可以建立防禦機制，並設定有效的風險緩解措施。

威脅情報

威脅情報為何重要

威脅情報工具可從多種來源讀取有關現有及新興威脅和威脅行動者的原始資料。資料經過分析和篩選後，可開發出可供自動化安全解決方案使用的情報提要和報告。為什麼這很重要？

獲取組織所需的資訊，以保護自身免受威脅和攻擊。
隨時掌握惡意行為者、各種漏洞、攻擊方法、零時差攻擊和進階持續性威脅所帶來的風險。
維持一種結構化的方式，以處理跨越眾多參與者和非連結系統的龐大內部和外部威脅資料。
避免錯誤警報。
將資料外洩及其帶來的財務、聲譽和合規成本降至最低。
取得識別最有可能奏效的安全工具所需的知識。
網路安全團隊和分析可以對未來的威脅保持主動，同時避免處理龐大、未處理、未優先排序原始資料的負擔。
讓領導者、使用者和利害關係人瞭解最新的威脅，以及這些威脅可能對組織造成的影響。
提供可讓決策者瞭解的及時情境。

威脅情報對於網路連線至全球網路的任何人都至關重要，而現今幾乎所有的組織都是如此。防火牆和其他安全系統固然重要，但卻無法取代企業隨時掌握危害其資訊系統的威脅的必要性。現今網路攻擊的多樣性、複雜性和可擴展性，使得威脅情報變得不可或缺。

威脅情報生命週期

威脅情報不是由檢查清單驅動的端對端流程。它是連續的、循環的、迭代的。組織永遠不會在某個時刻識別並消除所有潛在威脅。

威脅情報生命週期是對威脅環境演變本質的認知。避免一次攻擊或危機並不代表工作已經完成。您必須立即思考、預測並準備下一次。新的缺口和問題會不斷出現，需要新的情報需求。

威脅情報生命週期包含下列步驟。

規劃- 定義資料收集的需求。請提出具體的問題，這些問題將引導您朝正確的方向前進，並旨在產生可行的資訊。確定誰是威脅情報的最終消費者。
收集- 從可靠來源收集原始威脅資料。可靠的來源可能包括系統稽核記錄、過去的事件、內部風險報告、技術性外部來源，以及更廣泛的網際網路。
處理- 整理原始資料以準備分析。放置元資料標籤，讓您更容易消除多餘資訊、假否定和假肯定。SIEM可促進此組織。他們使用關聯規則來為不同的使用個案建構資料。
分析- 分析階段是威脅情報有別於基本資訊蒐集與傳播的關鍵，因為在這個階段，您必須讓資料變得有意義。對處理過的資訊應用結構化的分析技術，並量化威脅。這會產生威脅情報饋送；工具和分析師會掃描這些饋送，以判斷危害指標。外洩跡象包括可疑的 IP 位址、URL、電子郵件、電子郵件附件、登錄金鑰和雜湊。
傳播- 當威脅情報在正確的時間傳達給正確的人時，它就會發揮作用。使用預先定義的內部和外部溝通管道，與相關利害關係人分享分析結果。以目標受眾更容易理解的格式傳播資訊。這可能包括從威脅清單到同行審查報告。在大型組織中，威脅偵測和減緩是涉及多個團隊的集體工作。讓每個人都能瞭解，以發掘新的洞察力、解決方案和機會。
整合- 將可行的威脅情報整合至工作流程、事件回應程序和票務系統。
教訓- 分析情報以獲得長期教訓和更廣泛的影響。對您的政策、程序、流程、基礎架構和組態進行適當的變更。
回饋- 檢查行動並確認威脅是否已被阻止或控制。

網路安全威脅與威脅情報的類型

網路安全威脅和威脅情報可根據業務需求、情報來源和預定受眾進行分類。在這方面，網路安全威脅和威脅情報有三種類型。

策略性威脅情報

這些都是廣泛或長期的趨勢或問題。審核策略性威脅通常是 C-suite 高階主管等高階、非技術性受眾的專利。策略性威脅情報可提供威脅能力與意圖的鳥瞰圖，讓您能做出明智的決策並發出即時警告。

戰略威脅情報的來源包括新聞媒體、主題專家、非政府組織政策文件、安全白皮書和研究報告。

戰術威脅情報

戰術性威脅情報透過日常情報活動和作業處理危害指標，為威脅行動者的程序、技術和戰術提供結構。這是針對技術性較高的讀者所設計的情報，例如安全專業人員、系統架構師和網路管理員。

戰術性威脅情報可讓組織更深入瞭解他們可能遭受攻擊的方式，以及防禦這些攻擊的最佳方法。來自安全供應商和企業網路安全顧問的報告通常是策略性威脅情報的主要來源。

行動威脅情報

作業威脅情報也稱為技術威脅情報。這是非常專業和高度技術性的工作。它處理特定的攻擊、惡意軟體、工具或活動。

作業威脅情報的形式可以是取證威脅情報報告、威脅資料饋送或攔截的威脅群組通訊。它可讓事件回應團隊深入瞭解特定攻擊的時間、性質和意圖。

何謂威脅偵測？

威脅偵測有時會與威脅情報交替使用，但兩者的意思並不相同。威脅偵測是被動監控資料，以找出潛在的安全問題。

它著重於在安全漏洞發生之前、期間或之後發現和識別威脅。威脅可能是惡意軟體樣本中的一個字串、不尋常部分的網路連線、網路流量的意外激增或下降，或是儲存到臨時目錄的可執行檔案。

資料外洩偵測工具會分析使用者、資料、應用程式和網路行為，以找出異常活動。入侵偵測系統是威脅偵測工具的一個範例。

威脅情報與威脅偵測如何共同運作

威脅偵測系統通常會使用來自H-ISAC 等廣泛社群的威脅情報來檢查網路流量。他們部署自訂的警報和事件通知。威脅偵測工具可監控不同來源的日誌，並針對不同環境量身打造。

因此，當偵測到威脅時，就會發出警報。通常，人類會介入、檢視威脅、判斷發生了什麼事，並採取適當的行動。

正確的威脅情報工具

今日的組織暴露在攻擊者面前，他們可能有數百萬種方法取得未經授權的存取權並造成嚴重破壞。此外，威脅的規模、複雜性和複雜性也不斷增加。這表示最好假設攻擊者會突破防線，儘管您和您的組織已盡了最大努力。建立適當的實體與邏輯控制，對於降低攻擊成功的機會有很大的幫助。

威脅情報對於及時有效的威脅偵測與回應是不可或缺的，也是了解與防禦潛在網路安全威脅的必要元素。您的團隊和組織對潛在威脅的了解越深，就越有能力發展功能性回應並排定優先順序，以及快速偵測威脅。

即使對小型企業而言，威脅情報也是一項艱鉅且耗時的工作。幸運的是，市場上有許多威脅情報工具可以提供協助。但並不是所有的人都是一樣的。OpenText 被公認為網路安全領域的全球領導者，可為您的組織提供所需的正確工具，以快速產生有意義、可執行且動態的威脅情報。