最近被談?wù)摰漠惓；馃岬囊粋€術(shù)語就是威脅情報，那么威脅情報到底是什么意思，它是一種什么概念或者機(jī)制呢?本文中我們就來親密接觸一下威脅情報，并了解它所具有的功能，然后給出幾個威脅情報的最佳實(shí)踐示例，最后分析威脅情報有助于SIEM解決什么問題。

[[155677]]

什么是威脅情報?

最近，威脅情報受到廣泛的關(guān)注。它有很多種不同的定義，下面列出了一些經(jīng)常被引用的定義：

威脅情報是基于證據(jù)的知識，包括上下文、機(jī)制、指標(biāo)、隱含和可操作的建議，針對一個現(xiàn)存的或新興的威脅，可用于做出相應(yīng)決定的知識。—Gartner

針對安全威脅、威脅者、利用、惡意軟件、漏洞和危害指標(biāo)，所收集的用于評估和應(yīng)用的數(shù)據(jù)集。—SANS研究院

簡單地說，威脅情報就是能幫助你識別安全威脅并做出明智決定的知識。威脅情報可以幫助你解決以下問題：

1、針對大量的安全威脅信息，包括網(wǎng)絡(luò)威脅者、威脅方式、漏洞、目標(biāo)等等，如何跟上時代的步伐?

2、如何主動獲取關(guān)于未來安全威脅的信息?

3、如何通知領(lǐng)導(dǎo)關(guān)于特定安全威脅的危險和所帶來的后果?

為何每個人都在談?wù)撍?

2015年Verizon的DBIR報告估計，從7億份危害紀(jì)錄中，安全威脅造成了4億美元的經(jīng)濟(jì)損失，而這些損失則是由79790起安全事件所導(dǎo)致的。只要安全威脅和破壞發(fā)生，每個企業(yè)都將尋找方法來保護(hù)他們的數(shù)據(jù)。隨著我們對IT系統(tǒng)的依賴，威脅的場景總是處于不斷變化之中，所以企業(yè)的經(jīng)濟(jì)損失風(fēng)險正在不斷增大。

威脅同時來自內(nèi)部和外部，同時管理威脅的組織都承受著巨大的壓力。盡管信息的原始數(shù)據(jù)是可用的，但獲取有意義的信息是非常困難且費(fèi)時的，但是可以通過前期措施來做到這一點(diǎn)。這自然地就把越來越多的用戶吸引到威脅情報這一概念，因?yàn)檫@有助于他們在海量數(shù)據(jù)、警報和攻擊中對它們進(jìn)行主次排序，并能夠提供可實(shí)施性的信息。

下表給出了威脅情報能夠識別的威脅的幾種常見指標(biāo)：

威脅情報的功能

攻擊可以大致歸類為基于用戶的、基于應(yīng)用程序的和基于基礎(chǔ)設(shè)施的威脅。一些最常見的威脅是SQL注入、DDoS、Web應(yīng)用程序攻擊和網(wǎng)絡(luò)釣魚。

擁有一個IT安全解決方案是非常重要的，因?yàn)樗軌蛱峁┩{情報的能力，并通過主動式和響應(yīng)式地來管理這些攻擊。攻擊者在不斷改變他們的方法來挑戰(zhàn)安全系統(tǒng)。因此，企業(yè)機(jī)構(gòu)就不可避免地從各種源頭獲取到威脅情報。

有效應(yīng)對威脅行之有效的一種方法是，使用SIEM(Security Information & Event Management system，安全信息&事件管理系統(tǒng))來檢測并應(yīng)對威脅。SIEM可以用來跟蹤你的環(huán)境中發(fā)生的一切，并識別異常的活動。單獨(dú)的事件可能看起來并不相關(guān)，但通過事件關(guān)聯(lián)和威脅情報，你就能看到在你的環(huán)境中到底發(fā)生了什么。

如今，IT安全專家必須在假定的心理缺口下操作。對威脅情報中已知惡意攻擊者的流量進(jìn)行監(jiān)控，這將有助于識別惡意活動。然而，這可能需要人工手動操作，并且可能很耗時間。將基于威脅情報的指示器集成到SEIM安全解決方案中，這將有助于識別受危害系統(tǒng)，甚至可能阻止一些攻擊。

最佳實(shí)踐

針對不斷變化的威脅場景，整合威脅情報和應(yīng)對攻擊還不足以對抗它。你需要分析形勢，并確定你可能面臨的威脅，在此基礎(chǔ)上提出預(yù)防措施。這里有幾個最佳實(shí)踐的例子：

1、制定一個應(yīng)用程序白名單和黑名單。這有助于防止惡意或未經(jīng)允許的程序執(zhí)行操作，包括.DLL文件、腳本和安裝器。

2、仔細(xì)檢查你的日志，看看試圖的攻擊是否是一個獨(dú)立的事件，或者某個漏洞是否之前被利用過。

3、確定在試圖的攻擊中改變了什么。

4、審計日志并確定為什么發(fā)生了這個事件—其原因可能包括從系統(tǒng)漏洞到一個過時的驅(qū)動程序中的任何一個。

威脅情報有助于SIEM解決什么問題

一個SIEM，就像SolarWinds 日志和事件管理器，從監(jiān)控的流量中收集和規(guī)范日志數(shù)據(jù)，并自動標(biāo)記可疑事件。

隨著威脅情報機(jī)制和內(nèi)建規(guī)則的集成，可以將監(jiān)控的事件與已知的且不斷更新的威脅者對比。從實(shí)時的日志數(shù)據(jù)中你可以快速搜索并監(jiān)控安全威脅者，并識別常見的危害指標(biāo)。此外，你也可以自動采取措施，例如禁掉已知的惡意IP地址，以防惡意攻擊的發(fā)生。