防御与运营
网络威胁情报(CTI)
别称: 威胁情报, CTI
定义
基于证据并结合背景的网络威胁知识,帮助防御者更快、更明智地做出安全决策。
网络威胁情报(CTI)是对攻击者动机、能力、基础设施与战术进行采集、处理与分析,并将其转化为可行动知识的实践。情报来源涵盖开源订阅、暗网论坛、商业厂商、ISAC 以及组织自身的遥测数据。优秀的 CTI 应具备时效性、准确性、相关性,并针对不同受众(高管、威胁猎人、SOC 分析师)进行定制。它驱动检测、威胁狩猎、漏洞优先级排序与战略规划,通常分为战略、运营、战术三个层级。
示例
- 一份报告将针对医疗行业的勒索软件浪潮归因于某特定附属组织,并列出其 TTP 与 IoC。
- 每周向高管层提交涉及公司业务的地缘政治风险情报简报。
相关术语
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
Tactical Threat Intelligence
Tactical Threat Intelligence — definition coming soon.
Strategic Threat Intelligence
Strategic Threat Intelligence — definition coming soon.
Operational Threat Intelligence
Operational Threat Intelligence — definition coming soon.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。