浅谈威胁情报的数据采集与情报共享
字数 2317 2025-08-23 18:31:08

威胁情报的数据采集与情报共享全面指南

一、威胁情报概述

1.1 定义与发展

  • 初始定义:2013年由Gartner提出,是基于证据的知识,包括情境、机制、指标、影响和操作建议
  • 核心价值:在安全检测与防御实践中发挥重要作用,已成为中大型企业安全建设的必备要素

1.2 安全情报分类

  1. 资产情报:确认企业自身资产
  2. 事件情报:已发生安全事件的报道
  3. 漏洞情报:软硬件已知/未知漏洞
  4. 威胁情报
    • OSINT(公开资源情报)
    • 未公开数据(黑产群、社区等)

二、威胁情报详细分类

2.1 按使用场景分类

类型 使用者 主要内容 应用场景
战略威胁情报 CSO等管理者 攻击财务影响、趋势分析 高层商业决策
运营威胁情报 安全分析师 事件分析(攻击链、技战术等) 事件响应
战术威胁情报 应急响应人员 攻击者TTPs(战术、技术、流程) 防御策略制定
技术威胁情报 自动化系统 IOC(失陷标识) 自动阻断攻击

2.2 按数据类型分类

  1. 基础IOC

    • Hash值(MD5/SHA):防御效果最低,易绕过
    • IP地址:可阻断常见攻击,但易变更
    • 域名:成本较高,防御效果较好

  2. 高级特征

    • 网络/主机特征(User-Agent、访问频率等)
    • 攻击工具特征:迫使攻击者重写工具
    • TTPs(战术、技术、流程):价值最高,迫使攻击者寻找新漏洞

三、威胁情报生命周期

  1. 情报计划

    • 确定安全风险点
    • 明确情报类型(战术/战略/运营/技术)
    • 制定闭环跟进流程

  2. 情报收集

    • 多源数据采集(开放/封闭源)

  3. 情报处理

    • 数据预处理
    • 可靠性评估

  4. 情报分析

    • 深度分析生成FINTEL(最终情报)

  5. 情报传递

    • 考虑输送类型(YARA规则、IPtable等)
    • 明确目标系统
    • 确保及时性

  6. 情报反馈

    • 分类归纳整理
    • 动态调整优化计划

四、威胁情报主要用途

  1. 安全检测与主动防御

    • 生成检测签名/规则
    • 实时阻截攻击(基于IP/域名/URL)

  2. 安全分析与事件响应

    • 区分攻击类型
    • 识别APT攻击
    • 快速划定影响范围

  3. 安全建设与风险感知

    • 评估安全能力
    • 强化薄弱环节
    • 提供风险感知指南

五、情报采集方法与来源

5.1 商业采购

  • 非安全公司:业务保障需求
  • 安全公司:补充自身数据,集成到产品中

5.2 开源情报采集

  1. IOC Feeds

  2. IOC仓库

  3. 安全博客

  4. 安全工具官网

5.3 威胁情报平台

国内平台:

国际平台:

5.4 漏洞情报来源

5.5 安全公司数据来源

  1. 蜜罐系统:捕获样本
  2. 在线沙箱
  3. 安全终端:用户上报
  4. 安全论坛:技术交流与样本提交

六、情报共享标准

6.1 核心标准框架

  1. STIX (结构化威胁信息表达式):

    • 用途:威胁情报描述语言
    • 版本
      • STIX 1.0:基于XML
      • STIX 2.0:基于JSON,定义12种域对象
    • 适用场景
      • 威胁分析
      • 情报共享
      • 特征分类
      • 事件应急

  2. TAXII (情报信息可信自动化交换):

    • 传输协议:基于HTTPS
    • 服务模型
      • 汇聚服务(请求-响应)
      • 通道服务(发布-订阅)

  3. CybOX (网络可观察表达式):

    • 用途:描述可观察对象(HTTP会话、证书等)
    • 应用:威胁评估、日志管理、恶意软件分析

6.2 辅助标准

  1. MAEC (恶意软件属性枚举):

    • 消除恶意软件描述模糊性
    • 减少对签名依赖

  2. OVAL (开放式漏洞评估语言):

    • XML格式
    • 描述系统配置检查项

  3. CAPEC (常见攻击模式枚举):

    • 攻击模式分类
    • 帮助理解攻击方法

七、轻量型威胁情报框架(LWTISUF)

7.1 设计背景

  • STIX/TAXII不足
    1. 溯源表达能力有限
    2. 交换机制复杂

7.2 框架特点

  1. XML格式:兼顾机器处理与人工阅读
  2. 情报分类
    • 黑白名单数据类(IP/DNS/URL)
    • 安全攻击事件类
    • 恶意代码特征类
    • 僵尸网络活动类
    • 漏洞信息类
    • 黑客组织信息类

7.3 应用示例(C2主机情报)

<lwtisuf:Indicators>
  <lwtisuf:Indicator xsi:type="indicator:IndicatorType" 
                    id="example:Indicator33fe3b22-0201-47c-85d0-97c02164528d">
    <indicator:Title>IP Address for known C2 channel</indicator:Title>
    <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-l.1">IP Watchlist</indicator:Type>
    <indicator:Observable id="example:Observable-1c798262-a4cd-434d-a958884d6980c459"/>
    <indicator:Indicated_TTP>
      <Common:TTP idref="example:TTPbc66360d-a7d1-4d8cadla-ea3a13d62da9"/>
    </indicator:Indicated_TTP>
  </lwtisuf:Indicator>
</lwtisuf:Indicators>

7.4 情报利用

  1. 控制主机溯源

    • 对抗隐匿技术(僵尸网络、跳板等)

  2. 攻击者溯源

    • 攻击代码分析
    • 行为模式分析
    • 社会网络分析

八、最佳实践与总结

8.1 采集要点

  1. 定向获取:依据情报计划
  2. 时效性:快速响应新威胁
  3. 精准性:确保数据质量

8.2 使用场景

角色 应用场景
安全厂商 产品规则增强
应急响应 攻击溯源、事件定性
安全运维 产品加固、查缺补漏
产品厂商 脆弱点修复

8.3 关键资源

通过系统化的威胁情报采集、分析和共享,组织可以建立更加主动的网络安全防御体系,有效应对日益复杂的网络威胁环境。

威胁情报的数据采集与情报共享全面指南 一、威胁情报概述 1.1 定义与发展 初始定义 :2013年由Gartner提出,是基于证据的知识,包括情境、机制、指标、影响和操作建议 核心价值 :在安全检测与防御实践中发挥重要作用,已成为中大型企业安全建设的必备要素 1.2 安全情报分类 资产情报 :确认企业自身资产 事件情报 :已发生安全事件的报道 漏洞情报 :软硬件已知/未知漏洞 威胁情报 : OSINT(公开资源情报) 未公开数据(黑产群、社区等) 二、威胁情报详细分类 2.1 按使用场景分类 | 类型 | 使用者 | 主要内容 | 应用场景 | |------|--------|----------|----------| | 战略威胁情报 | CSO等管理者 | 攻击财务影响、趋势分析 | 高层商业决策 | | 运营威胁情报 | 安全分析师 | 事件分析(攻击链、技战术等) | 事件响应 | | 战术威胁情报 | 应急响应人员 | 攻击者TTPs(战术、技术、流程) | 防御策略制定 | | 技术威胁情报 | 自动化系统 | IOC(失陷标识) | 自动阻断攻击 | 2.2 按数据类型分类 基础IOC : Hash值(MD5/SHA):防御效果最低,易绕过 IP地址:可阻断常见攻击,但易变更 域名:成本较高,防御效果较好 高级特征 : 网络/主机特征(User-Agent、访问频率等) 攻击工具特征:迫使攻击者重写工具 TTPs(战术、技术、流程):价值最高,迫使攻击者寻找新漏洞 三、威胁情报生命周期 情报计划 : 确定安全风险点 明确情报类型(战术/战略/运营/技术) 制定闭环跟进流程 情报收集 : 多源数据采集(开放/封闭源) 情报处理 : 数据预处理 可靠性评估 情报分析 : 深度分析生成FINTEL(最终情报) 情报传递 : 考虑输送类型(YARA规则、IPtable等) 明确目标系统 确保及时性 情报反馈 : 分类归纳整理 动态调整优化计划 四、威胁情报主要用途 安全检测与主动防御 : 生成检测签名/规则 实时阻截攻击(基于IP/域名/URL) 安全分析与事件响应 : 区分攻击类型 识别APT攻击 快速划定影响范围 安全建设与风险感知 : 评估安全能力 强化薄弱环节 提供风险感知指南 五、情报采集方法与来源 5.1 商业采购 非安全公司 :业务保障需求 安全公司 :补充自身数据,集成到产品中 5.2 开源情报采集 IOC Feeds : ThreatFeeds.io BotScout Blocklist.de URLhaus IOC仓库 : APT Notes ESET Malware IOC Neo23x0签名库 安全博客 : Contagio Dump Malware Traffic Analysis 安全工具官网 : Wireshark Metasploit Cobalt Strike 5.3 威胁情报平台 国内平台: 微步在线 红后情报 360威胁情报 奇安信威胁情报 国际平台: IBM X-Force VirusTotal ThreatMiner 5.4 漏洞情报来源 CNVD : 国家漏洞库 IBM X-Force : 漏洞更新 Openwall : CVE邮件列表 5.5 安全公司数据来源 蜜罐系统 :捕获样本 在线沙箱 : 微步云沙箱 ANY.RUN 安全终端 :用户上报 安全论坛 :技术交流与样本提交 六、情报共享标准 6.1 核心标准框架 STIX (结构化威胁信息表达式): 用途 :威胁情报描述语言 版本 : STIX 1.0:基于XML STIX 2.0:基于JSON,定义12种域对象 适用场景 : 威胁分析 情报共享 特征分类 事件应急 TAXII (情报信息可信自动化交换): 传输协议 :基于HTTPS 服务模型 : 汇聚服务(请求-响应) 通道服务(发布-订阅) CybOX (网络可观察表达式): 用途 :描述可观察对象(HTTP会话、证书等) 应用 :威胁评估、日志管理、恶意软件分析 6.2 辅助标准 MAEC (恶意软件属性枚举): 消除恶意软件描述模糊性 减少对签名依赖 OVAL (开放式漏洞评估语言): XML格式 描述系统配置检查项 CAPEC (常见攻击模式枚举): 攻击模式分类 帮助理解攻击方法 七、轻量型威胁情报框架(LWTISUF) 7.1 设计背景 STIX/TAXII不足 : 溯源表达能力有限 交换机制复杂 7.2 框架特点 XML格式 :兼顾机器处理与人工阅读 情报分类 : 黑白名单数据类(IP/DNS/URL) 安全攻击事件类 恶意代码特征类 僵尸网络活动类 漏洞信息类 黑客组织信息类 7.3 应用示例(C2主机情报) 7.4 情报利用 控制主机溯源 : 对抗隐匿技术(僵尸网络、跳板等) 攻击者溯源 : 攻击代码分析 行为模式分析 社会网络分析 八、最佳实践与总结 8.1 采集要点 定向获取 :依据情报计划 时效性 :快速响应新威胁 精准性 :确保数据质量 8.2 使用场景 | 角色 | 应用场景 | |------|----------| | 安全厂商 | 产品规则增强 | | 应急响应 | 攻击溯源、事件定性 | | 安全运维 | 产品加固、查缺补漏 | | 产品厂商 | 脆弱点修复 | 8.3 关键资源 STIX官方文档 TAXII规范 CybOX示例 通过系统化的威胁情报采集、分析和共享,组织可以建立更加主动的网络安全防御体系,有效应对日益复杂的网络威胁环境。