威脅信息、威脅情報、完成情報三者之間有什麼關係？

E安全4月18日文 在網路威脅情報領域，廠商困惑的是：哪些威脅信息可以被定位為「完成情報」（Finished Intelligence）。「完成情報」指的是獲取、評價威脅信息，並能帶來業務利益的產出。

雖然情報過程始於威脅信息收集。從浩瀚的信息海洋中獲取信息與生成「完成情報」存在很大差別。在圖表中畫1000個分散的點，這就是信息，但顯示情境和相關性的這些以某種方式關聯的點，被稱為「評估情報」，可以用來準備並規劃未來攻擊的情報，以支撐先前的未知風險，將工作和精力投入到適當的地方。這些情報還能幫助組織機構從事件響應的角度理解事件的經過、原因和過程。

何為威脅情報？

網路威脅情報（CTI）是一個生命周期過程，最終產生可以以多種方式被不同群體使用的可交付成果（取決於威脅情報位於策略、運作/和/或戰術層面）。要明確，CTI不僅僅是提取指標（Indicator）或通過數據充實資料庫，以及在環境中使用這些指標。

威脅情報需要將自動化（涉及情報收集、處理、過濾和一些分析）和人力分析結合。人為因素太容易被忽視。現如今有大量信息可供收集，無論是從「暗網」或開放資源抓取，獲取信息相對簡單（在限制性黑市和論壇安排間諜眼線除外）。

威脅情報不僅僅是收集數據，還包括處理和分析，其秘訣還在於情報分析。本文源自E安全如果執行得當，情報分析可以確保信息評估的精確度、相關性、時效性和完整性。某個行業或組織因不同的看法和決策使用情報，因此這就需要人類的經驗和要注意的細節。

要創建情報需要信息，然而信息本身不是情報。

實際上，信息有時甚至會將組織指向錯誤的方向。儘管信息提供了大量潛在行動，但情報可以協助規劃，並提供方向，並最終幫助組織機構制定更佳的決策，意義重大。

分析威脅活動時，應通過「接敵途徑」考慮：

• 行業目標-攻擊者想從特定組織機構或團隊得到什麼？

• 技術目標-攻擊者可能會利用組織機構使用的哪些技術（例如Adobe Flash、Internet Explorer等）實施攻擊？

• 傳送方式- 攻擊者如何將有效載荷傳送到目標（例如魚叉式網路釣魚、第三方攻擊等）？

• 使用的漏洞利用- 攻擊者使用了哪些具體漏洞利用或已知（或未知）漏洞？

• 獲取的許可權-攻擊者獲取/使用哪種存在方式（比如特權賬號、資料庫訪問等）執行攻擊？

• 造成的影響/損害-攻擊帶來的影響有哪些（例如IP被盜、服務停用等）？

「接敵途徑」可以提供威脅情境、運作方式、目標以及對組織機構造成的影響。「完成情報」包括這類分析、威脅指標和支持證據，以及信心水平和行動推薦。

因此，組織機構不僅需要了解事件的經過和過程，還需從事件響應或風險規劃的角度和準備方式中了解影響評估和緩解措施。

談到威脅情報時，也許一些廠商經常提及「可操作」情報，然而，除了「可操作」，情報還應為組織機構獻計獻策，以應對即將發生的威脅或識別的風險。

「完成情報」是指獲取、評估威脅信息並能最終帶來業務利益的產出（通常以減低風險潛在響應業務運營的方式產生）。

如果組織機構無法輕鬆說出當前CTI會帶來哪些業務利益，或無法定義欲創建的新CTI能力，那麼這樣的組織機構只是在收集情報，並非執行威脅情報。

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。聯繫方式：① 微信號zhu-geliang ②郵箱eapp@easyaq.com

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考，歡迎關注微信公眾號「E安全」（EAQapp），或登E安全門戶網站www.easyaq.com , 查看更多精彩內容。