簡單來說，威脅情報就可以幫助人們識別安全威脅并做出明確決定的知識。

威脅情報可以幫助人們解決如下問題：

如何跟得上包括惡意攻擊、攻擊方法、安全漏洞、黑客目標等等在內的如潮水般海量的安全威脅信息？面對未來的安全威脅，如何獲取更多的主動？如何向領導匯報具體安全威脅的危險和影響？

“威脅情報”到底是什么鬼？

威脅情報最近備受關注。盡管對于威脅情報到底是什么有著許多不同的定義，但以下幾條卻是經常被引用的說法：

威脅情報是循證知識，包括環境、機制、指標、意義和可行性建議，現有的或新興的、對資產的威脅或危害，可用于主體對威脅或危害的反應做出明確決定。

威脅情報就是收集、評估和應用關于安全威脅、威脅分子、攻擊利用、惡意軟件、漏洞和漏洞指標的數據集合。

為什么人人都在談論“威脅情報”？

據《威瑞森2015年數據破壞調查報告》，預計2015年將發生安全事幫79790起，造成7億條數據記錄泄露，經濟損失高達4億美元。

只要安全威脅和數據泄露不斷發生，任何企業都會想法設法去保護自己的數據。威脅態勢總是不斷變化，因為我們對IT系統的依賴，我們的業務風險也在不斷增加,。

既有來自內部的安全威脅，也有來自外部的安全威脅。各單位為了有效地管理威脅，一直承受著巨大的壓力，幾乎不堪重負。盡管原始數據的信息唾手可得，且耗時很難，但要獲得基于可設置有效衡量標準的有意義的信息卻不是那么容易的事，而且耗時耗力。

這自然就把越來越多的用戶推向了威脅情報，因為它有助于在海量數據、警報和攻擊中對威脅進行優先級排列，并提供可操作的信息。

下表給出了幾種可以由威脅情報源進行識別的常見的漏洞指標：

類別：網絡

漏洞指標：

IP地址網址域名

實例：惡意軟件感染與已知的不法分子進行通訊的目標內部主機

類別：電子郵件

漏洞指標：

發件人郵件地址和郵件主題郵件中的附件郵件中的鏈接

實例：網絡釣魚通過內部主機嘗試點擊毫無戒心的電子郵件，并回傳至惡意的命令與控制服務器

類別：基于主機

漏洞指標：

文件名和文件哈希表（例如MD5）注冊表鍵動態鏈接庫（DLL）互斥對象名

實例：來自可能會自我感染或已經感染的主機的外部攻擊

威脅情報能力

攻擊可以大致歸為基于用戶、基于應用程序和基于基礎設施的威脅。一些最常見的威脅包括SQL注入、DDoS、web應用攻擊和網絡釣魚攻擊等等。

擁有一套可以提供情報能力通過主動出擊和及時響應來管理這些攻擊的安全解決方案是至關重要的。攻擊者不斷改變其方法來挑戰安全系統。因此，對于各單位來說，就不可避免地要從各種各樣的來源獲取威脅情報。

一種被證明行之有效的掌控攻擊的方法，就是通過安全信息和事件管理系統（SIEM）來發現和應對威脅。安全信息和事件管理系統可以用來追蹤環境中所發生的一切，識別異常活動。孤立事件可能看起來無關緊要，但與事件和威脅情報關聯起來，你會發現環境中到底發生了什么。

如今，IT安全專家必須要在假定發生數據泄露的心態下工作。比較威脅情報中針對已知不法分子的監控流量，來自有助于識別惡意活動。

然而，這樣的措施可能需要手動操作，而且耗時耗力。將基于威脅情報的指標集成到一套安全信息和事件管理系統安全解決方案，將有助于識別受損系統，甚至可能阻止部分攻擊。

最佳實踐

通過整合威脅情報和應對襲擊對抗格局不斷變化的威脅是遠遠不夠的。你需要分析形勢，確定可能面臨的威脅，在此基礎上提出預防措施。

這里有幾條最佳實踐謹供參考：

擁有一份應用程序白名單和黑名單。這會有助于防止惡意的或未經批準的程序的執行，包括DLL文件、腳本和安裝程序。仔細檢查日志，看看未遂襲擊是不是孤立事件，或者該漏洞之前是否被利用過。確定未遂攻擊中發生了哪些變更。審計日志并確定此事件為什么事件發生——原因可以大到系統漏，小到驅動過時。

威脅情報為安全信息和事件管理系統帶來了什么

類似SolarWinds日志事件管理器之類的安全信息和事件管理系統從監控流量中收集和規范日志數據，并對可疑事件自動進行標記。

有了集成威脅情報機制和內置規則，監控事件可以對不斷更新的已知威脅列表進行比對。

您可以通過實時日志數據快速搜索并監控來自攻擊的點擊，識別常見的漏洞指標。

您可以對已知惡意IP地址自動響應，以防惡意攻擊的企圖。