什么是网络威胁情报 (CTI)?
亲身体验人工智能驱动的安全!
探索 Stellar Cyber 的尖端 AI,实现即时威胁检测和响应。立即安排您的演示!
网络威胁情报日益重要
当代网络安全给管理中型企业的安全架构师和首席信息安全官(CISO)带来了严峻的现实。高级持续性威胁组织在国家支持和企业级资源的驱动下运作,专门针对那些处理宝贵数据且安全预算有限的公司。如果没有智能威胁检测能力,这一平衡似乎难以平衡。
想想现代网络威胁的惊人规模。2024年2月,Change Healthcare勒索软件攻击影响了1.9亿份患者记录,导致全国医疗服务中断超过十天,造成超过2.457亿美元的损失。这起事件表明,一个单一的漏洞——一台缺乏多因素身份验证的服务器——可能会引发一场影响数百万美国人的全国性危机。
从 2023 年 12 月开始的国家公共数据泄露事件可能暴露了 2.9 亿条记录,被盗数据在暗网市场上出售,直至 2024 年 4 月。这些事件凸显了传统的被动安全模型在面对那些利用基本安全漏洞来达到最大影响的坚定对手时是如何失效的。
CTI 究竟是什么?网络威胁情报是指对威胁数据进行结构化的收集、分析和应用,以提高检测和响应能力。与简单的安全警报或日志不同,CTI 提供有关威胁行为者的背景信息,包括其动机、能力和方法。这种情报使安全团队能够从被动事件响应转向主动威胁搜寻和预防。
了解四种类型的威胁情报
战略威胁情报
战略威胁情报为高管层提供有关威胁形势、新兴风险和长期安全趋势的高层洞察。此类情报侧重于业务影响而非技术细节,有助于首席信息安全官向董事会成员传达风险并论证安全投资的合理性。
战略情报可以解决以下问题:哪些威胁行为者瞄准了我们的行业?监管变化如何影响我们的风险状况?哪些新兴技术创造了新的攻击面?MITRE ATT&CK 框架通过将攻击者行为与业务风险进行映射,为战略规划提供了宝贵的背景信息。
不妨思考一下 MITRE 框架的 14 个战术类别如何帮助高管了解全面的威胁覆盖范围。当战略情报表明,通过初始访问 (TA0001) 技术针对特定行业的攻击有所增加时,领导层可以优先考虑对周边安全控制和员工培训计划的投资。
战术威胁情报
战术情报弥合了战略规划与行动响应之间的差距。它专注于特定威胁行为者的策略、技术和程序 (TTP),为安全团队提供检测和缓解特定攻击类型的详细方法。
这种情报类型对于威胁搜寻活动和安全控制验证至关重要。当战术情报显示威胁行为者正在利用特定的 NIST SP 800-207 零信任实施漏洞时,安全架构师可以相应地确定补救措施的优先级。
CTI 平台与战术情报的集成,实现了跨多个数据源的威胁行为者行为的自动关联。安全分析师可以识别持续数周或数月的攻击模式,从而揭示单个警报可能遗漏的复杂攻击活动。
运营威胁情报
运营情报能够实时洞察当前正在发生的威胁活动、正在进行的攻击以及威胁行为者的活动。此类情报需要持续监控和快速传播,才能最大限度地发挥其效用。
安全运营中心高度依赖作战情报进行事件响应和主动威胁跟踪。当作战情报识别出正在进行的行动中使用的指挥控制基础设施时, SOC 分析人员可以立即采取阻止措施,并在其环境中寻找类似的指标。
威胁情报源对于运营情报分发至关重要。自动化情报源可确保安全团队在发现威胁后的数小时内收到可操作的情报,而无需等待每周或每月的威胁报告。
技术威胁情报
技术情报包括机器可读的入侵指标 (IOC),例如 IP 地址、域名、文件哈希和恶意软件签名。这些指标可以通过安全工具和平台实现自动检测和阻止。
CTI 工具擅长大规模处理技术情报。现代威胁情报平台每天可以从多个来源获取数千条 IOC,并根据相关性和置信度自动对其进行评分和优先级排序。
技术指标的短暂生命周期带来了独特的挑战。恶意IP地址可能在数小时内发生变化,而域名也可能在数天内注册并被废弃。这一现实需要实时情报处理和分发能力。
CTI 在现代安全运营中的关键作用
利用上下文丰富安全警报
原始安全警报缺乏有效分类和响应所需的上下文信息。有关可疑网络流量的防火墙警报,如果添加了威胁行为者归因、活动信息和攻击方法细节,就变成了可操作的情报。
考虑一个典型场景:端点检测系统生成有关多个工作站上 PowerShell 执行的警报。如果没有威胁情报上下文,分析师必须逐一调查每个警报。借助 CTI 增强功能,分析师可以立即了解这些事件与特定威胁行为者相关的已知“离地攻击”技术相匹配,从而快速升级和遏制威胁。
Stellar Cyber Interflow 数据模型展示了威胁情报的丰富是如何在数据采集时进行,而不是在分析过程中进行的。这种方法确保每个安全事件在到达分析师工作流程之前都得到情境增强,从而显著提高检测准确性和响应时间。
通过风险评分确定事件的优先级
并非所有威胁都会对您的组织构成同等风险。CTI 平台实施提供了复杂的评分机制,在确定安全事件的优先级时,会考虑威胁行为者的能力、目标偏好和攻击成功概率。
在资源受限的情况下,风险评分尤为重要。中型企业的安全团队无法以同等强度调查每一条安全警报。威胁情报可以实现智能分类,确保分析师专注于最有可能在其特定环境中得逞的威胁。
行业定位是基于风险的优先级排序的典型例子。当威胁情报表明医疗保健机构面临越来越多的勒索软件攻击时,医疗保健公司可以自动升级相关警报,而其他行业则维持标准的响应程序。
支持主动威胁搜寻
传统的安全方法是等待攻击触发检测系统。网络安全中的 CTI 通过提供指标和 TTP(技术、技术、流程和步骤),使安全团队能够在其环境中主动搜索,从而实现主动威胁搜寻。
威胁情报与 MITRE ATT&CK 框架的集成将显著提升威胁搜寻活动的效果。安全分析师可以系统地搜寻特定攻击技术的证据,从而构建覆盖整个攻击生命周期的全面覆盖。
2024年,Snowflake数据泄露事件波及Ticketmaster和Santander等公司,充分体现了主动追踪的价值。主动追踪撞库指标和异常云访问模式的组织,比单纯依赖被动检测的组织更早地检测到了这些攻击。
整合 SIEM 以及 XDR 交易平台
自动供稿集成
手动威胁情报流程无法扩展以应对当前的威胁数量。组织需要自动化威胁情报源,以便根据当前的 IOC 和威胁情境持续更新安全工具。
STIX 和 TAXII 标准促进了平台之间的自动化情报共享。STIX 2.1 提供了表示威胁信息的标准化格式,而 TAXII 2.0/2.1 则定义了用于情报分发的安全传输协议。
Stellar Cyber 内置的威胁情报平台体现了高效的信息源集成。该平台无需单独订阅 TIP 并增加管理开销,而是自动聚合多个商业、开源和政府信息源,近乎实时地将丰富的情报分发到所有部署。
跨域关联
高级威胁同时涵盖多个攻击媒介。网络入侵、端点入侵、云配置错误以及身份攻击通常构成协同攻击活动,单个安全工具无法独立检测到。
Open XDR 这些平台擅长关联来自不同数据源的威胁情报。当威胁情报表明特定威胁行为者通常将通过网络钓鱼进行初始访问与通过被盗凭证进行横向移动相结合时, XDR 平台可以自动关联电子邮件、终端和身份系统中的相关事件。
在混合云和多云环境中,集成挑战变得尤为复杂。威胁行为者会刻意利用本地系统、多个云平台和 SaaS 应用程序之间的可见性差距。全面的威胁情报关联需要统一的数据模型,以规范化所有这些领域的情报。
自动响应和编排
被动的手动响应无法与自动化攻击的速度相提并论。CTI 平台与安全编排和自动响应 (SOAR) 系统的集成,可根据威胁情报更新立即采取保护措施。
考虑命令与控制 (C2) 拦截场景。当威胁情报识别出与活跃攻击活动相关的新 C2 基础设施时,自动化系统可以立即更新防火墙规则、DNS 过滤器和代理配置,以阻止通信。这种自动化操作只需几分钟即可完成,而手动流程则需要数小时甚至数天。
MITRE ATT&CK 框架集成支持自动剧本选择。当威胁情报指示攻击符合特定 TTP 时,SOAR 平台可以自动触发适当的响应程序,从而缩短平均遏制时间并最大限度地降低攻击影响。
MITRE ATT&CK 框架与零信任集成
将威胁情报映射到 ATT&CK 技术
有效的威胁情报实施需要在观察到的指标与记录的攻击技术之间建立一致的映射。这种映射使安全团队能够了解哪些防御措施能够应对特定的威胁,并识别其安全架构中的覆盖范围缺口。
该框架涵盖从初始访问到影响的14个战术类别,全面覆盖了对手的目标。当威胁情报识别出新的恶意软件样本时,安全分析师可以将其行为映射到特定的ATT&CK技术,从而实现关于威胁和响应要求的一致沟通。
以 Change Healthcare 的攻击方法为例。通过不受保护的远程访问进行的初始入侵对应于初始访问 (TA0001)。持续九天的横向移动对应于发现 (TA0007) 和横向移动 (TA0008) 策略。最终的勒索软件部署代表了影响 (TA0040) 技术。这种映射有助于组织了解全面的防御要求。
零信任架构增强
NIST SP 800-207 零信任架构原则与全面的威胁情报操作自然契合。零信任模型“永不信任,始终验证”的理念,能够显著受益于情境化威胁情报,从而为访问决策提供信息。
零信任实施需要根据当前威胁情报持续评估访问请求。当情报显示针对特定用户角色或地理区域的攻击有所增加时,访问控制可以动态调整,在不影响合法业务运营的情况下提供额外保护。
在零信任环境中,以身份为中心的威胁情报尤为重要。统计数据显示,目前 70% 的违规行为源于凭证被盗,这凸显了身份威胁检测和响应能力的重要性。零信任架构必须整合有关凭证泄露、异常访问模式和权限提升尝试的实时威胁情报。
现实世界的违规分析和经验教训
变革医疗事件
Change Healthcare勒索软件攻击是美国历史上最严重的医疗数据泄露事件之一,影响了190亿人,损失超过2.457亿美元。此次攻击成功利用了一个根本性的安全漏洞:Citrix远程访问服务器缺乏多因素身份验证。
有效的威胁情报部署可以通过多种机制阻止此次事件的发生。关于医疗保健攻击目标增加的战略情报可以优先实施多因素身份验证 (MFA)。关于 ALPHV/BlackCat TTP 的战术情报可以使其能够主动追踪基于凭证的攻击。关于凭证泄露的技术情报可以在横向移动开始之前触发自动阻止。
从最初的入侵到勒索软件部署,九天的驻留时间意味着一个重要的检测机会。丰富的威胁情报监控可以识别出此次攻击中异常的网络遍历模式、数据访问行为和管理帐户使用情况。
国家公共数据暴露
国家公共数据泄露事件表明,糟糕的安全措施如何导致大规模数据泄露。该事件从2023年12月开始,持续到2024年4月,可能影响了美国、英国和加拿大的2.9亿条记录。
此次泄露事件中发现的安全漏洞包括薄弱的密码策略、未加密的管理员凭证、未修补的 Apache 服务器漏洞以及错误配置的云存储。这些漏洞在当前的威胁情报中都会作为主动攻击媒介出现,需要立即关注。
此次数据泄露事件的规模之大,几乎可能影响到所有拥有社保号码的用户,凸显了处理敏感数据的机构缺乏基本安全控制措施时可能造成的系统性风险。全面的威胁情报实施包括漏洞情报,该情报会根据主动威胁利用情况确定补丁优先级和配置管理。
当代攻击趋势
最近的威胁分析揭示了一些令人担忧的趋势,凸显了全面威胁情报的重要性。2024年,人工智能驱动的网络钓鱼攻击增加了703%,勒索软件事件增加了126%。这些统计数据表明,威胁行为者正在迅速采用新技术来增强攻击效果。
供应链攻击增加了62%,平均检测时间延长至365天。这些攻击利用了信任关系和合法访问渠道,如果没有关于供应链目标和入侵指标的威胁情报,检测将变得极其困难。
内部威胁的增加带来了另一个重大挑战,83% 的组织在 2024 年报告了与内部相关的事件。检测需要通过有关内部威胁模式和方法的威胁情报来增强行为分析。
Stellar Cyber 的内置 CTI 功能
多源情报聚合
该平台自动聚合来自多个商业、开源和政府来源的威胁情报,包括 Proofpoint、DHS、OTX、OpenPhish 和 PhishTank。这种聚合功能无需客户单独订阅单独的威胁情报服务,同时确保全面覆盖所有威胁类别。
平台的最新增强功能包括与 CrowdStrike Premium Threat Intelligence 的集成,提供实时、高保真的 IOC,从而实现更快、更准确的检测。此次集成强化了我们在不增加运营复杂性的情况下提供企业级威胁情报的承诺。
多层人工智能™ 方法在数据采集时而非分析过程中应用威胁情报,确保微妙或隐秘的攻击在处理的最初阶段就能获得适当的背景信息。这种方法与事后将威胁情报附加到现有流程的方法截然不同。
流间数据丰富
Stellar Cyber Interflow 代表了该平台规范化且丰富的数据模型,该模型在初始数据处理过程中整合了威胁情报。这种方法可确保每个安全事件都得到情境增强,从而提高检测准确性并减少分析师的工作量。
实时数据丰富功能包括 IP 信誉分析、域名风险评估、文件哈希分类和恶意软件家族归因。该平台将这些指标与多个攻击媒介关联起来,从而识别出在检查单个数据源时可能隐藏的复杂攻击活动。
增强过程自动运行,无需手动配置或维护。一旦出现新的威胁情报,平台会立即将其纳入持续分析,确保检测能力始终保持最新,以应对不断变化的威胁。
自动评分和优先排序
该平台采用自动评分机制,在确定安全事件优先级时会考虑威胁行为者的能力、目标偏好和攻击成功概率。这种评分机制可以减少误报,同时确保分析师专注于最有可能在其特定环境中取得成功的威胁。
跨域关联功能使该平台能够识别跨网络、端点、云和身份系统的攻击模式。当威胁情报显示存在协同攻击活动时,该平台会自动提升相关警报,并提供全面的攻击时间表供分析师审查。
全面实施 CTI 的好处
更快的威胁检测和响应
全面的威胁情报实施可显著缩短平均检测和响应时间。当安全平台持续接收有关活跃威胁的情报时,它们可以在几分钟内识别攻击模式,而无需花费数天或数周的时间。
Change Healthcare 攻击的九天驻留时间代表了威胁情报提供的检测机会。拥有全面 CTI 实施的组织通常能够通过威胁行为者 TTP 情报增强的行为分析,在数小时内检测到横向移动。
威胁情报源能够在攻击发起前主动阻止已知的恶意基础设施。这种主动方法可以阻止攻击,而不是在攻击成功后才进行检测。
降低假阳性率
原始安全警报通常会产生大量误报,耗尽分析师资源并造成危险的警报疲劳。威胁情报上下文通过提供相关性评分和攻击归因,显著提高信噪比。
当分析师了解特定警报与已知威胁行为者行为相对应时,他们可以相应地确定调查工作的优先级。相反,当警报缺乏威胁情报背景时,分析师可以安全地推迟调查,将重点放在更高优先级的事件上。
先进平台采用的多层 AI™ 方法使用威胁情报自动评分和确定警报的优先级,在保持高检测灵敏度的同时将误报率降低高达 90%。
增强安全团队效率
网络安全领域的 CTI 将安全分析师的工作流程从被动警报处理转变为主动威胁搜寻和战略性安全改进。分析师将更多时间用于识别和解决根本原因,而不是调查单个事件。
威胁情报与 MITRE ATT&CK 框架的集成,为分析师提供了结构化的方法,用于理解攻击活动并制定全面的响应策略。这种结构提高了调查的一致性,并促进了安全团队之间的知识共享。
初级分析师能够从威胁情报环境中获益良多,这些环境能够提供有关威胁、攻击方法和响应程序的背景信息。这种环境能够加速技能发展,并提升团队的整体能力。
未来考虑和实施策略
整合规划与评估
在实施全面的威胁情报功能之前,组织应该对现有的安全工具和流程进行彻底的评估。这项评估可以确定成功所需的集成要求、数据格式兼容性以及运营工作流程变更。
CTI平台的选择应优先考虑能够与现有安全基础设施无缝集成的解决方案,而非需要全面更换平台。目标是增强现有功能,而不是增加运营开销。
试点实施使组织能够在全面部署之前验证威胁情报的价值。从恶意软件检测或命令与控制拦截等具体用例入手,可以展示出可衡量的效益,从而证明扩大实施的合理性。
员工培训和技能发展
威胁情报实施需要安全团队培训,培训内容涵盖情报分析方法、威胁行为者研究以及 MITRE ATT&CK 框架的使用。此类培训旨在确保团队能够有效运用情报能力。
组织应该规划循序渐进的技能发展,而不是期望立即获得专业知识。提供引导式分析和自动化建议的 CTI 工具可帮助团队逐步提升情报分析能力。
威胁情报分析与传统安全运营之间的交叉训练,确保情报洞察能够影响日常安全活动。这种整合可防止威胁情报成为一项孤立的功能,对运营的影响有限。
不断发展的网络安全形势需要先进的威胁情报能力,以便主动防御顽固的对手。网络威胁情报是现代安全运营的关键基础,它将被动警报处理转变为战略性威胁管理,从而保护组织资产和业务运营。通过全面实施 CTI 平台,中型企业可以在现实资源限制内,实现企业级安全能力,以应对当代威胁的复杂性。