SANS研究院白皮书 威胁情报 ： 定义及使用公益 译文项目 Matt Bromiley 2016年9月 发起单位：绿盟科技 在当今的网络社会，决策者对安全投资的价值心存疑虑，希望知道是否投资的每一元钱都物有所值， 保障了业务安全。与此同时，网络攻击者变得越来越聪明，攻击能力也与日俱增。而安全团队常会 发现自己的工作处于滞后状态，只能通过分析历史数据来判断未来趋势。组织着手缩小这个差距， 在这个过程中，威胁情报（TI ）因其稳步提升的可用性及适用性获得越来越多的认可。 文档信息 原文名称 Threat Intelligence: What It Is, and How to Use It Effectively 原文作者 Matt Bromiley 原文发布日期 2016年9月 作者简介 Matt Bromiley 是SANS GIAC 咨询委员会的成员，取得了 GIAC认证数字取证分析师（ GCFA）证书和 GIAC网络取证分 析师（ GNFA）证书，是一位有为的取证导师。目前，马特担任一家大型事件响应和取证分析公司的高级顾问，在数字取证、 事件响应 /分类和日志分析方面有丰富经验，且具备磁盘、数据库、网络取证、内存分析和网络安全监控方面的技能。马特 与各类型和各规模的客户均有合作，大到跨国公司，小到区域门店。他热爱学习，乐于分享，且热衷于开发开源工具。 原文发布单位 SANS Institute 原文出处 https://www.sans.org/ 译者 小蜜蜂公益翻译组 校对者 小蜜蜂公益翻译组 免责声明  本文原文来自于互联网的公共方式，由“安全加”社区出于学习交流的目的进行翻译，而无任何商业利益的考虑和利用， “安全加”社区已经尽可能地对作者和来源进行了通告，但不保证能够穷尽，如您主张相关权利，请及时与“安全加” 社区联系。  “安全加”社区不对翻译版本的准确性、可靠性作任何保证，也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时，用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或 部分损失不承担任何责任。用户亦保证不用做商业用途，也不以任何方式修改本译文，基于上述问题产生侵权行为的， 法律责任由用户自负。 赞助人 SANS研究院非常感谢绿盟科技对该报告的赞助： 小蜜蜂公益翻译组 “安全加”社区目录 执行摘要 ······································································································· 1 何谓“威胁情报”？ ······················································································ 2 威胁情报的重要性 ················································································· 3 威胁情报来源 ································································································ 4 内部威胁情报 ······················································································· 4 外部威胁情报 ······················································································· 4 结合内部和外部数据源 ··········································································· 7 让威胁情报具有可操作性 ··············································································· 8 将威胁情报与组织的安全状况相结合 ························································· 8 利用威胁情报促进调查与响应 ·································································· 8 利用威胁情报展望未来安全形势 ······························································· 8 结论 ·············································································································· 9威胁情报：定义及使用 2016年9月 V1.0公益 译文项目 1 执行摘要 在当今的网络社会，决策者对安全投资的价值心存疑虑，希望知道是否投资的每一元 钱都物有所值，保障了业务安全。与此同时，网络攻击者变得越来越聪明，攻击能力也与 日俱增。而安全团队常会发现自己的工作处于滞后状态，只能通过分析历史数据来判断未来趋势。组织着手缩小这个差距，在这个过程中，威胁情报（ TI）因其稳步提升的可用性 及适用性获得越来越多的认可。 最简单的威胁情报是基于可用数据点了解组织所面临威胁的过程。但是，威胁情报不 仅仅是采集数据点那么简单，还有一个必要环节，就是理解数据与组织的关系。安全团队须将数据点与情境信息结合起来判断企业所面临的风险。另外，只有具有可操作性的威胁 情报才对组织有用。若安全团队无法确定响应、对抗或缓解威胁的最佳方式，威胁情报的 价值则几近为零。 本文档旨在帮助决策者判断组织是否已做好准备将威胁情报融入其安全项目。更为成 熟的组织或已开始利用威胁情报，这样的组织可从本文了解到如何用好威胁情报。我们从 以下关键几点探讨了威胁情报： 定义威胁情报 如何为组织定义威胁情报，同时确保所定目标符合组织实际情况 获取威胁情报 如何获取有价值的威胁情报并合理利用内外数据源以满足组织需要 使威胁情报具有可操作性 如何在全组织内实施情报发现，而不仅仅是采集数据点 威胁情报工作可能需要投入大量资金。本文并未假设组织会划拨预算建立一支专门的 大型威胁情报队伍，而是聚焦于融入、响应威胁情报的技术，各种规模的组织都会从中获 益。了解当前所面临的威胁，通过实施威胁情报战略尽可能地保护业务，这对于任何组织来说都是明智的做法。