防御与运营
威胁情报
别称: TI, 威胁情报
定义
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
威胁情报是对攻击者、其动机、能力与基础设施的信息进行有组织的采集、加工、分析与分发。通过添加背景、可信度和目标受众,把原始数据(恶意样本、IP、域名、泄露凭据、暗网情报、漏洞报告)转化为可行动的情报。组织通常通过订阅源(STIX/TAXII、MISP)、威胁情报平台(TIP)、厂商报告和 ISAC 共享获取情报,用于丰富 SIEM 与 EDR 检测、指导补丁优先级和管理层风险决策。按受众和时间维度可分为战略级、运营级和战术级三类。
示例
- 某 ISAC 在新勒索软件分支发起攻击前数小时共享相关 IoC。
- TIP 为 SIEM 事件添加攻击者归属、MITRE ATT&CK 技术编号和可信度评分。
相关术语
网络威胁情报(CTI)
基于证据并结合背景的网络威胁知识,帮助防御者更快、更明智地做出安全决策。
Tactical Threat Intelligence
Tactical Threat Intelligence — definition coming soon.
Strategic Threat Intelligence
Strategic Threat Intelligence — definition coming soon.
Operational Threat Intelligence
Operational Threat Intelligence — definition coming soon.
Indicator of Compromise (IoC)
Indicator of Compromise (IoC) — definition coming soon.
Tactics, Techniques and Procedures (TTPs)
Tactics, Techniques and Procedures (TTPs) — definition coming soon.