威脅情報(bào)源（Threat intelligence feed）是一種提供關(guān)于最新網(wǎng)絡(luò)威脅和攻擊信息的數(shù)據(jù)流，其中涉及漏洞、惡意軟件、網(wǎng)絡(luò)釣魚以及其他惡意攻擊活動(dòng)。這些數(shù)據(jù)由安全研究人員、行業(yè)監(jiān)管機(jī)構(gòu)以及專業(yè)安全廠商所共同創(chuàng)建，通常采用STIX/TAXII等標(biāo)準(zhǔn)格式，可以與EDR、SIEM、防火墻、威脅情報(bào)平臺(tái)和其他網(wǎng)絡(luò)安全工具有效集成，從而在極低的預(yù)算投入下，為企業(yè)安全團(tuán)隊(duì)和分析師們提供實(shí)時(shí)威脅信息，以監(jiān)控威脅指標(biāo)（IoCs）、惡意域和其他網(wǎng)絡(luò)威脅。

在當(dāng)今的互聯(lián)網(wǎng)時(shí)代，網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，網(wǎng)絡(luò)威脅也日益增多。在此背景下，如何將威脅情報(bào)深度應(yīng)用到企業(yè)的安全防護(hù)體系中就顯得尤為重要。如果被合理利用，各種威脅情報(bào)數(shù)據(jù)將能幫助分析師更準(zhǔn)確了解安全事件的真相。威脅情報(bào)的來源范圍十分廣泛，以下是網(wǎng)絡(luò)安全行業(yè)中使用的常見情報(bào)類型：

01威脅指標(biāo) (IOC) 源

包含與威脅行為者或惡意活動(dòng)相關(guān)的特定工件，例如IP地址、域名、文件哈希和電子郵件地址。它提供了觀察到的最新IOC列表，安全產(chǎn)品可以使用它來檢測和阻止攻擊。

02戰(zhàn)術(shù)威脅情報(bào)源

提供有關(guān)特定威脅及其戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 的信息。它可以包括有關(guān)所使用的惡意軟件、攻擊媒介以及威脅行為者所使用的基礎(chǔ)設(shè)施的詳細(xì)信息。

03戰(zhàn)略威脅情報(bào)源

提供了更廣泛的威脅態(tài)勢視圖，它包括對(duì)威脅行為者的動(dòng)機(jī)、目標(biāo)和策略的洞察。此外，它還可用于告知安全策略和政策，并在潛在威脅變成攻擊之前識(shí)別它們。

04運(yùn)營威脅情報(bào)源

提供有關(guān)主動(dòng)針對(duì)組織的威脅的實(shí)時(shí)信息，它可用于確定安全警報(bào)和響應(yīng)的優(yōu)先級(jí)，并協(xié)調(diào)事件響應(yīng)活動(dòng)。

05開源情報(bào) (OSINT) 源

提供有關(guān)在社交媒體、新聞文章和論壇等公開來源中觀察到的威脅的信息。它可用于識(shí)別新出現(xiàn)的威脅并跟蹤威脅行為者的活動(dòng)。

無論企業(yè)組織需要什么類型的威脅情報(bào)信息，都可以通過以下6個(gè)來源，找到一些公開可用的資源。

圖片

1. AlienVault Open Threat Exchange

 由線上社區(qū)驅(qū)動(dòng)的威脅情報(bào)源

美國AT&T公司的AlienVault Open Threat Exchange（OTX）威脅情報(bào)源是目前全球最大、最全面的威脅情報(bào)社區(qū)之一，有來自140個(gè)國家的10萬多名參與者，每天提供超過1900萬個(gè)威脅指標(biāo)。OTX是一個(gè)完全開放的威脅情報(bào)社區(qū)，將威脅研究和安全專業(yè)人員共享的專業(yè)知識(shí)免費(fèi)開放給所有用戶。

除了讓所有類型的用戶都可以使用它的信息流外，OTX在數(shù)據(jù)訪問的便捷性和閱讀感受方面也做得很好。圖形化閱讀界面可以清楚地說明了威脅指標(biāo)（IoC）的數(shù)量和類型，并提供報(bào)告來快速總結(jié)威脅及其影響。此外，OTX還共享有關(guān)威脅名稱、任何相關(guān)引用URL、標(biāo)簽、攻擊者背景等方面的信息。

主要特點(diǎn)：

• 來自140個(gè)國家的10萬名參與者和貢獻(xiàn)者；
• 通過DirectConnect API與其他工具集成；
• 最全面的威脅情報(bào)解決方案之一；
• 每天發(fā)布的威脅指標(biāo)超過1900萬個(gè)；
• 威脅檢索界面非常直觀，易于閱讀；
• 利用Pulse Wizard，用戶可以自動(dòng)化地提取IoC。

不足：

• 雖然有免費(fèi)的工具和集成，但OTX與AT&T的付費(fèi)網(wǎng)絡(luò)安全產(chǎn)品配合更有效；
• 大規(guī)模眾包方法限制了情報(bào)質(zhì)量的提升。

傳送門：https://cybersecurity.att.com/open-threat-exchange

2. abuse. ch URLhaus 

適合惡意URL檢測

abuse. ch URLhaus項(xiàng)目可以將有關(guān)惡意url的情報(bào)數(shù)據(jù)編譯到用戶的數(shù)據(jù)庫中。盡管任何人都可以訪問這些免費(fèi)的信息源及其生成的詳細(xì)數(shù)據(jù)庫，但abuse. ch公司特別指出，該解決方案更適合網(wǎng)絡(luò)運(yùn)營商、互聯(lián)網(wǎng)服務(wù)提供商（ISP）、計(jì)算機(jī)應(yīng)急響應(yīng)小組（CERT）和域名管理機(jī)構(gòu)的使用需求。

URLhaus威脅情報(bào)項(xiàng)目管理了三個(gè)主要的情報(bào)源，專注于特定的IP地址和域名異常情況監(jiān)測。一般用戶可以直接從URLhaus網(wǎng)站獲取有關(guān)這些情報(bào)源的最新信息。然而，對(duì)于想要使用此工具來審查妥協(xié)指標(biāo)或訪問可解析數(shù)據(jù)集的用戶，需要下載URLhaus API。此外，用戶還可以提交自己發(fā)現(xiàn)的惡意URL。

主要特點(diǎn)：

• URLhaus的三個(gè)主要情報(bào)源包括ASN源、國家源和TLD 源，主要用于跟蹤在線和離線的惡意URL； 
• URLhaus提供了詳細(xì)的提交策略，以過濾掉無關(guān)惡意軟件的提交結(jié)果； 
• 擁有全面的、定期更新的惡意軟件URL數(shù)據(jù)庫，有完善的標(biāo)簽；
• URLhaus的API和下載選項(xiàng)非常廣泛和多樣，可以滿足不同的用戶偏好。

不足：

• 只有在URLhaus API中選擇使用數(shù)據(jù)集時(shí)，一些自定義功能才可用； 
• 要通過網(wǎng)絡(luò)提交惡意軟件URL，用戶必須登錄Twitter、Google、LinkedIn或GitHub，但這些都是公開可見的。

傳送門：https://urlhaus.abuse.ch/

3. Proofpoint ET Intelligence

適合情境化的威脅信息

Proofpoint ET Intelligence項(xiàng)目通過全面的檢索方法來收集并整理威脅情報(bào)，可以根據(jù)豐富的應(yīng)用場景來提供威脅情報(bào)信息，包括IP地址、域和其他IoC的當(dāng)前和歷史元數(shù)據(jù)。此外，ET Intelligence還可以很好地分離、分類和評(píng)分IP地址和域名，并定期進(jìn)行列表更新。

對(duì)比本文中所列出的其他5個(gè)解決方案，Proofpoint ET Intelligence是情報(bào)信息覆蓋度最全面的解決方案，但它的使用價(jià)格也是非常昂貴的，適合那些對(duì)企業(yè)級(jí)威脅解釋和調(diào)查溯源感興趣的用戶。

應(yīng)用特點(diǎn)：

• 訪問有關(guān)IP、域和其他IoC的歷史元數(shù)據(jù)； 
• 可搜索的威脅情報(bào)門戶，附帶趨勢、時(shí)間戳、威脅類型和漏洞利用工具包標(biāo)簽，以及相關(guān)的樣本；  
• 支持TXT、CSV、JSON和壓縮格式；
• 可以與多種網(wǎng)絡(luò)安全工具和威脅情報(bào)平臺(tái)（如Splunk、QRadar、anomaly和ArcSight）集成； 
• 情報(bào)檢索頁面中包括了高度清晰的彩色編碼圖表 。

不足：

• 目前市場上最昂貴的威脅情報(bào)源之一，而且價(jià)格還在持續(xù)上漲；
• 可能與其他網(wǎng)絡(luò)安全工具存在重疊的功能。

傳送門：https://www.proofpoint.com/us/products/advanced-threat-protection/et-intelligence

4. Spamhaus

適合電子郵件安全和反垃圾郵件

Spamhaus是為電子郵件服務(wù)系統(tǒng)提供威脅情報(bào)源和黑名單的專業(yè)服務(wù)商，其威脅情報(bào)源項(xiàng)目目前已覆蓋了30多億用戶。用戶可以訪問并應(yīng)用針對(duì)郵件攻擊策略、漏洞利用、垃圾郵件問題的阻止列表，還可以在黑名單中修復(fù)不正確的垃圾郵件列表，訪問實(shí)時(shí)的ISP新聞和信息，并閱讀有關(guān)反垃圾郵件的最佳實(shí)踐文檔。

Spamhaus公司目前擁有六個(gè)主要威脅情報(bào)源和威脅列表，并以此為基礎(chǔ)構(gòu)建了一個(gè)全面的電子郵件安全解決方案；事實(shí)上，它通常被認(rèn)為是精確、實(shí)時(shí)的惡意郵件過濾和防護(hù)解決方案。Spamhaus的大部分功能和DNSBL源都是免費(fèi)提供給用戶的。然而，需要更大規(guī)模的商業(yè)垃圾郵件過濾的用戶和網(wǎng)站將需要訂閱Spamhaus的Datafeed Query Service（DQS）。

應(yīng)用特點(diǎn)：

• 超過30億用戶收件箱受到Spamhaus威脅情報(bào)源和黑名單的保護(hù)，是目前應(yīng)用最廣泛的互聯(lián)網(wǎng)垃圾郵件和惡意軟件攔截工具之一；
• 具有詳細(xì)的FAQ指南，可為用戶提供專業(yè)指導(dǎo)；
• Spamhaus已經(jīng)將它的SBL、XBL和PBL解決方案打包成一個(gè)解決方案：Spamhaus Zen，用戶只需要使用一個(gè)DNSBL工具；
• Spamhaus有一個(gè)安全的ROKSO LEA門戶，可以更安全地訪問有關(guān)垃圾郵件操作的機(jī)密記錄。

不足：

• 某些特性功能只有付費(fèi)升級(jí)到Datafeed Query Service才能使用； 
• 一些公共IP地址會(huì)被Spamhaus誤列入黑名單，修正的過程也比較繁瑣。

傳送門：https://www.spamhaus.org/

5. SANS: Internet Storm Center

適合于了解和解釋威脅行為

SANS是一家全球性的網(wǎng)絡(luò)安全培訓(xùn)與研究機(jī)構(gòu)，其所屬的Internet Storm Center（ISC）項(xiàng)目是目前市場上值得信賴的威脅情報(bào)源之一。這也是一個(gè)完全建立在開放協(xié)作基礎(chǔ)上的情報(bào)源社區(qū)，由一些威脅情報(bào)志愿者處理日常威脅監(jiān)控和文檔。除了一些日常性的情報(bào)收集處理程序之外，ISC能夠從企業(yè)用戶處獲取到防火墻和入侵檢測系統(tǒng)等安全工具的運(yùn)營數(shù)據(jù)。

ISC的獨(dú)特性體現(xiàn)在多個(gè)方面：首先，其專有的傳感器網(wǎng)絡(luò)和報(bào)告設(shè)置模仿能夠?yàn)槲粗{提供早期預(yù)警。此外，ISC還關(guān)注如何為解決這些威脅提供程序指導(dǎo)。

應(yīng)用特點(diǎn)：

• 從50多個(gè)國家的50萬個(gè)監(jiān)控傳感器中獲取信息；
• 由志愿者對(duì)所監(jiān)測到的安全事件進(jìn)行處理分析，并經(jīng)常更新入侵檢測數(shù)據(jù)庫；
• ISC團(tuán)隊(duì)可根據(jù)用戶的要求生成自定義的全局威脅態(tài)勢報(bào)告；
• 由具有多年經(jīng)驗(yàn)的網(wǎng)絡(luò)安全專業(yè)人員組成；
• ISC的分布式傳感器網(wǎng)絡(luò)能夠快速識(shí)別網(wǎng)絡(luò)各個(gè)角落的新威脅。

不足：

• 將工具集成到專用網(wǎng)絡(luò)和專有系統(tǒng)的能力非常有限；
• 專家團(tuán)隊(duì)的規(guī)模較小，可能會(huì)導(dǎo)致分析報(bào)告的質(zhì)量和深度難以統(tǒng)一。

傳送門：https://isc.sans.edu/

6. FBI InfraGard

最適合關(guān)鍵基礎(chǔ)設(shè)施的安全性

InfraGard是由美國聯(lián)邦調(diào)查局（FBI）組織開展并運(yùn)行的一個(gè)網(wǎng)絡(luò)情報(bào)源項(xiàng)目，旨在與其他政府機(jī)構(gòu)以及企業(yè)組織建立網(wǎng)絡(luò)威脅信息共享網(wǎng)絡(luò)。企業(yè)組織可以從FBI的內(nèi)部情報(bào)信息、經(jīng)驗(yàn)培訓(xùn)和最佳實(shí)踐中受益，同時(shí)FBI和其他政府機(jī)構(gòu)也可以第一時(shí)間洞察美國關(guān)鍵基礎(chǔ)設(shè)施的安全態(tài)勢和威脅指標(biāo)。InfraGard項(xiàng)目可以免費(fèi)申請(qǐng)加入，但需要會(huì)員資格才能訪問InfraGard資源。

InfraGard的威脅情報(bào)資源分為了商業(yè)設(shè)施、運(yùn)營商、關(guān)鍵制造業(yè)、國防工業(yè)基地、市政服務(wù)、能源、金融服務(wù)、政府設(shè)施、醫(yī)療保健和公共衛(wèi)生等16個(gè)領(lǐng)域，通過重點(diǎn)領(lǐng)域劃分，目前可為企業(yè)組織提供具有行業(yè)特性的定制化威脅情報(bào)和安全防護(hù)提示。

應(yīng)用特點(diǎn)：

• 威脅咨詢、情報(bào)公報(bào)、分析報(bào)告和漏洞評(píng)估由聯(lián)邦調(diào)查局和其他政府機(jī)構(gòu)與私營部門成員共享；
• 實(shí)現(xiàn)了監(jiān)管機(jī)構(gòu)和企業(yè)組織之間的雙向威脅情報(bào)分享； 
• 16種不同的專門威脅源使用戶能夠?qū)Ｗ⒂谂c其特定部門相關(guān)的威脅；
• 將政府機(jī)構(gòu)的專業(yè)知識(shí)和企業(yè)組織專業(yè)人員相結(jié)合，成員可以獲得針對(duì)性的安全培訓(xùn)和資源。

不足：

• 會(huì)員制服務(wù)模式，在一定程度上偏離了傳統(tǒng)的威脅情報(bào)工作；
• 只專注于美國的基礎(chǔ)設(shè)施領(lǐng)域，不適合美國以外的企業(yè)和全球化公司使用。

傳送門：https://www.infragard.org/

參考鏈接：https://www.esecurityplanet.com/products/threat-intelligence-feeds/