什么是威胁智能识别？
 

随着网络犯罪分子不断寻找新的攻击漏洞，攻击计算机和网络的不同方式也在不断演变。网络威胁智能识别 (CTI) 可帮助企业随时了解新的威胁，从而进行自我保护。网络安全专家会整理、分析和提炼他们收集到的有关攻击的信息，从中学习，并利用这些信息更好地保护企业。 

威胁智能识别（也称为安全情报）还有助于阻止正在进行的攻击，或减轻其损失。IT 团队对攻击的理解越深刻，就越能更好地做出明智的应对决策。

威胁智能识别有哪些类型？

威胁智能识别有多种类型，从全局性的非技术信息到有关特定攻击的技术详细信息。以下是一些威胁智能识别类型：

• 战略性：战略性威胁智能识别是将威胁纳入具体情境的全局信息。企业可以将这种非技术信息展示给董事会。战略性威胁智能识别的一个示例是业务决策如何使企业易受网络攻击的风险分析。  
• 战术性：战术性威胁智能识别包括如何施行和抵御威胁的详细信息，例如威胁载体、工具、攻击者使用的基础架构、针对的业务或技术类型以及规避策略。它还可帮助企业了解成为不同类型攻击目标的可能性。网络安全专家使用战术信息做出有关安全控制和防御管理的明智决策。 
• 运维：运维威胁智能识别是供 IT 部门使用的信息，用于进行主动威胁管理，并针对特定攻击采取行动。这些信息与攻击背后的意图，以及攻击的本质和时机有关。理想情况下，这些信息是直接从攻击者处收集的，因此很难获得。
• 技术：技术威胁智能识别是攻击发生的物体证据，或入侵指标 (IOC)。一些威胁智能识别工具使用人工智能扫描这些指标，其中可能包含网络钓鱼活动的电子邮件内容、C2 基础架构的 IP 地址或已知恶意软件样本的工件。

威胁智能识别具有哪些作用？

威胁智能识别和网络威胁工具可帮助企业了解不同类型攻击的风险，以及如何以最佳方式抵御它们。网络威胁智能识别还有助于减轻已发生的攻击造成的损失。企业的 IT 部门可能会收集自己的威胁智能识别，还可能依靠威胁智能识别服务收集信息，并提供有关最佳安全实践的建议。采用软件定义的网络连接 (SDN) 的企业可使用威胁智能识别快速重新配置网络，以抵御特定类型的网络攻击。 

威胁智能识别的重要性体现在何处？

在应对网络攻击时，企业可使用威胁智能识别变被动为主动。如果不了解安全漏洞、威胁指标，以及威胁如何施行，就不可能有效地抵御网络攻击。威胁智能识别可更快地预防和控制攻击，可能会为企业节省数十万美元。威胁智能识别可在各个级别加强企业的安全控制，包括网络安全和云安全。

有哪些常见的入侵指标？

负责安全的员工如何能在适当的位置观察反常行为，通常会发现正在发生攻击或已经发生攻击的迹象。人工智能在这方面可以帮上大忙。一些常见的 IOC 包括：

• 特权用户帐户的反常活动：攻击者通常会尝试获得更高的帐户权限，或从受攻击的帐户移动到另一具有较高权限的帐户。
• 登录异常：在工作时间之外登录并尝试访问未经授权的文件，同一帐户从遍布全球的不同 IP 快速连续登录，不存在的用户帐户登录失败，这些都是出现异常的明显迹象。
• 数据库读取量增加：数据库读取量显著增加可能说明有人正在反常地提取大量数据，例如数据库中的所有信用卡号。
• 异常的域名系统 (DNS) 请求：特定主机对 DNS 请求的大量激增，以及 DNS 请求对外部主机的模式都是危险信号，因为它们意味着企业外部有人正在发送命令并控制流量。
• 对同一文件的大量请求：很大一部分网络犯罪活动涉及重复攻击，这意味着有人正在搜寻漏洞。发现对同一文件的 500 次请求可能说明有人正在尝试通过不同方式找到弱点。
• 未做解释的配置或系统文件变更：虽然很难找到信用卡采集工具，但找到安装该工具后系统文件发生的变化较为容易。 

有哪些可用的威胁智能识别工具？

有各种在售的威胁智能识别工具，还有一些可通过开源社区免费获得。它们收集威胁智能识别的方法都稍有不同：

• 恶意软件反汇编程序：这些工具可将恶意软件反向工程，以了解它的工作方式，并帮助安全工程师确定如何防范未来的类似攻击。
• 安全信息和事件管理 (SIEM) 工具：SIEM 工具支持安全团队实时监控网络，收集有关反常行为和可疑流量的信息。
• 网络流量分析工具：网络流量分析工具可收集网络信息，并记录网络活动，这些信息可使入侵检测更加轻松。
• 威胁智能识别社区和资源收集：能够聚合已知入侵指标和社区生成的有关威胁的数据、可自由访问的网站，是威胁智能识别非常有价值的来源。其中有些社区支持协作研究，并提供有关如何预防和战胜威胁的可行建议。

能够发现新出现的威胁并知道如何避免的企业，可以采取行动，在攻击发生之前进行预防。收集和检查威胁智能识别应是每家企业安全战略的组成部分。