威胁情报是指企业组织可能面临的潜在攻击以及如何检测和阻止这些攻击行为的信息。威胁情报可以帮助企业或组织快速地了解到敌对方对自己的威胁信息，从而提前做好威胁防范，并更高效地进行攻击检测与响应。

在实际应用中，研究机构Gartner将威胁情报分为了以下三类：战略威胁情报、战术威胁情报和运营威胁情报。基于这种分类，每个安全运营团队和运维人员可以根据需要选择最相关的情报信息，更有效地进行风险识别和防范，并了解攻击者的作案动机。本文将对其中的运营威胁情报相关概念、获取方式、应用价值等进行重点介绍。

01

什么是运营威胁情报？

运营威胁情报主要描述攻击者使用的战术、技术和程序 (TTP)，可以为安全分析师提供安全事件的背景，重点关注恶意软件、木马和网络钓鱼等攻击是如何执行的，攻击的足迹是什么，以及攻击过程中的哪些环节受到了影响等，使防御者对网络犯罪分子的作案手法有准确而深刻的认知，并寻找尚未被发现的恶意行为，从而加快对可疑行为的调查。

由于运营威胁情报可以深入了解所涉及攻击者（团体）的起源和组织结构，并帮助响应者理解特定攻击的类型、意图和时间框架，目前已经成为保障企业网络安全弹性的关键工具。高质量的运营威胁情报甚至能够让防御者有机会提前实施控制措施并挫败攻击，这也使其在许多方面成为网络安全实践的黄金标准。即便是并不完整的运营威胁情报也可能为即将发生的攻击提供重要线索，例如，在攻击被利用之前找出潜在的资产暴露面和攻击途径。

运营威胁情报一般包括以下内容：

• 特定威胁分组资源（后门家族、共享基础设施）；
• 与特定危险组相关的TTP（标准文件名、端口、临时目录、协议、首选文件类型等）；
• 未来可能会出现的TTP（包含持久性、可利用性和网络钓鱼等的新攻击策略）。

从事件响应的角度来看，如果企业正在处理一起入侵事件，就需要全面了解攻击者如何进行数据盗窃、横向移动或特权升级等攻击行为，并通过查找某些行为来搜索未知但可能会发生的恶意活动。各类网络安全专家，例如应急响应人员、恶意软件分析人员、网络防御团队、安全管理者、行动执行者等都可以使用运营威胁情报。运营威胁情报威胁识别并非只限于内部运营环节，与客户、友商、合作伙伴、分支机构相关的安全缺陷也都需要被审查记录。

02

运营威胁情报如何获取？

由于运营威胁情报与特定的威胁策略相关，所以获得运营威胁情报的方法有两种：

• 可通过招募或策反的方式，在活跃的威胁团体中培养情报线人；
• 通过渗透和监视等技术手段，截取威胁团体间的通信。

总的来说，运营威胁情报最有可能从封闭渠道收集。虽然一些不太成熟的威胁组织满足于通过相对开放性的渠道来讨论他们的战略，但更严谨的犯罪活动更有可能采取隐蔽措施。这就引出了一个重要的问题：由于运营威胁情报涉及特定人员和群体的行动和通信，因此收集这些情报会引发一些法律和伦理方面的争议。

运营威胁情报是一种全面的信息数据集，它提供解决安全威胁所需的各种信息。因此，运营威胁情报的采集是个系统化的过程，从规划开始到评估数据的可用性，整个收集过程包含了多个阶段。

1、需求研究

在开始寻找足数据之前，企业必须清楚地了解自己需要了解什么。研究人员应该知道谁会使用这些知识以及为什么。网络威胁情报应该与公司或行业相关，并清楚地说明它将如何提供帮助。此外，还应该考虑使用者的具体需求特点（技术专家、董事会成员或首席执行官等）。

2、数据收集

运营威胁情报的数据收集工作需要在企业内部和外部同时开展。通过各种安全设备的日志数据，可以采集到完善的内部数据，同时，还应该通过公开的安全技术论坛、开发者社区和事件公告等，获取更广泛的外部信息。

3、数据处理

在以较原始的形式（恶意IP和域、未编译代码、个人信息等）收集到大量数据后，需要通过过滤清洗，提升数据的准确性和可用性，包括使用相关信息更新元标记（meta tag），删除那些无用或者已经过时的低价值信息。目前，这项工作大多通过人工智能和机器学习来自动化完成。

4、分析评估

在对原始数据进行处理并剔除不相关信息后，就可以对数据进行评估和关联，以发现潜在的安全风险。在将信息发送给关联部门之前，应该将其结构化处理，这样更加易于理解。

5、分发与反馈

在此阶段，主要将收集到的行动情报，按照应用相关性分发给不同的应用者和分析师。为了更好的优化未来的数据收集质量，应该对情报的利用率及准确性进行评价和反馈。为了评估情报是否真正发挥作用，需要从请求情报的用户获得准确的应用效果反馈。

03

运营威胁情报的挑战

在收集和分析运营威胁情报的过程中，威胁分析人员可能会遇到以下挑战：

• 通信数据获取：多数威胁组织在讨论他们的计划时都会采取一些预防措施，并尽最大努力保持隐蔽。不仅要考虑伦理和法律方面的影响，还有技术手段方面的局限。在许多情况下，想要获取一个群体的内部通信数据会非常困难；
• 语言：威胁群体会位于不同的国家和地区，通常会使用母语进行交流。尽管可以通过使用自然语言处理（NLP）引擎来克服这一障碍，但这仍会增加发掘运营威胁情报的成本和难度；
• 干扰信息：通过自动化技术监测常见的运营威胁情报来源（如讨论群和开源社区）时干扰信息太多，人工监控又并不显示，这时就需要通过威胁情报分析技术手段来应对这一障碍；
• 混淆战术：许多威胁组织正不遗余力地隐藏他们的意图。常见的混淆策略包括使用专用代码来代替目标名称和/或攻击类型，以及定期更改个人代号等。

运营威胁情报收集并非一个简单的过程。它可能需要一段时间，也需要大量的专业技能和技术理解来支持。为了正确地收集足够数量的数据，机器学习技术的应用是非常必要的。

04

运营威胁情报的价值

运营威胁情报是通过研究以往攻击的具体情况而获得的信息。分析人员可以通过关联多个战术指标和数据来构建有关威胁行为者攻击方式的完整视图，并将其衍生为运营威胁情报。这有助于：

• 为安全人员提供他们需要的事件背景信息，通过增强安全事件和已识别的IOC（入侵指标）通知，来做出更准确的安全判断；
• 改进事件响应策略和缓解方法，为即将到来的网络攻击和入侵做好准备；
• 寻找规避传统安全措施的可疑文件和活动，建立并加强主动发现过程（“狩猎计划”）；
• 根据在野攻击者的方法，采用实用的红队策略；
• 分析恶意软件家族和参与者，以识别对企业、行业、地区或国家的高风险威胁；
• 创建独立于IOC的检测技术，以更快的方式提供更广泛的威胁覆盖范围。

参考链接：

https://heimdalsecurity.com/blog/operational-threat-intelligence/