以网络威胁情报构建威胁驱动型网络安全体系

QQQQQQQQ 以网络威胁情报构建威胁驱动型网络安全体系ISACA 目录 4引言5威胁态势与不断演化的网络犯罪生态系统5／信息窃取型恶意软件 6高效威胁情报的最佳实践 7／战略威胁情报8／战术威胁情报8／运营威胁情报8／技术威胁情报 8／推动企业各层级利益相关方参与 9/案例研究10／对管理层级的向上和向下沟通策略11／威胁情报项目的规模化建设11/法律与监管合规考量 提升威胁情报的运营实效 12/技术栈与工具选型13/自动化作为威胁情报的核心支柱13／泄露身份信息的优先级解析14／基于大语言模型（LLM）的初始访问代理（IAB）分析14／泄露凭证的验证与修复14／用于威胁狩猎的失陷指标（loC）情报源Https://www.isaca.org.cn 15衡量威胁情报项目的成效16结论17致谢 以网络威胁情报构建威胁驱动型网络安全体系8ISACA 摘要 长期以来，许多企业难以从传统的网络威胁情报项目中获得切实价值。常见问题包括：情报缺乏可操作性海量数据未经优先级排序、需求定义模糊不清等。与此同时，威胁环境本身也日益复杂一一网络犯罪生态快速商业化、生成式人工智能（GenAI）兴起、地缘政治紧张局势升级，这些因素都使得以情报驱动安全防护变得愈发紧迫。 本白皮书提供了一套切实可行的路线图，帮助企业新建或强化现代化的威胁情报体系。内容融合了行业最佳实践与一线客户实战经验，指导企业如何从零散、合规导向的做法，转向真正系统化、以威胁为核心的防御策略。无论您是希望从零搭建成熟的情报体系，还是优化现有机制，本文都能为您提供实用参考。高管、安全管理者及信息安全团队均可从中获取具体步骤，包括如何构建威胁模型、设定优先情报需求（PIRs），以及确保情报产出与企业风险管理目标高度对齐。CrISAISA 以网络威胁情报构建威胁驱动型网络安全体系 引言 众所周知，不少企业在威胁情报项目上投入颇多，却难见实效。谷歌云近期委托开展的一项调研覆盖了1500多名IT与网络安全专业人士，结果显示：61%的受访者表示被过多的情报源淹没，59%坦言难以将情报转化为实际行动，另有59%在验证威胁的真实性或相关性方面举步维艰1。这些问题不仅造成数以百方计美元的资源浪费，更让企业暴露在本可避免的风险之中。 谷歌云近期委托开展的一项调研覆盖了1500多名IT与网络安全专业人士，结果显示：61%的受访者表示被过多的情报源淹没，59%坦言难以将情报转化为实际行动，另有59%在验证威胁的真实性或相关性方面举步维艰。 面对这一现状，本白皮书提出一套具体、可落地的行动框架，供风险管理、安全及IT领域的决策者参考，用以构建或优化威胁情报体系，实现可衡量的安全成效。当下正是推动情报体系建设的关键时机，原因如下 新型威胁载体层出不穷：例如信息窃取型恶意软件（infostealer）已导致数百万身份信息泄露，直接威胁企业员工和高管的数字安全。 勒索软件攻击持续升级：在动荡的地缘政治背景下，攻击手法不断进化，迅速重塑整体威胁格局。 人工智能加速落地：AI技术的广泛应用既带来新的安全风险，也为防御体系创造了创新机遇。 网络犯罪产业化加剧：黑产生态日趋成熟，攻击规模和效率显著提升，对企业构成系统性威胁。 一个成熟的网络安全体系中，威胁情报、威胁建模与企业风险管理本就密不可分。威胁建模是一种结构化的前瞻性方法，旨在识别、评估并缓解潜在安全风险，防止其被实际利用。它要求我们站在攻击者的视角审视系统，发现漏洞，评估攻击发生的可能性与影响，并据此部署精准的防御措施。 而威胁情报则为这一过程提供关键支撑一一通过收集、分析并应用相关且可操作的情报，不断丰富和完善威胁模型，全面提升企业的整体安全水位。二者协同作用，共同构筑起高效的企业风险管理体系：既能持续将技术层面的风险缓解措施与业务目标对齐，又能将剩余风险控制在可接受范围内。 二者协同作用，共同构筑起高效的企业风险管理体系：既能持续将技术层面的风险缓解措施与业务目标对齐，又能将剩余风险控制在可接受范围内。 威胁态势与不断演化的网络犯罪生态系统 网络威胁情报的核心驱动力之一，正是网络犯罪生态的快速演变。要建立有效的威胁情报体系，就必须紧跟这一生态日新月异的变化节奏。据CybersecurityVentures预测，到2025年，网络犯罪将给全球经济造成高达10.5万亿美元的损失2。新的攻击团伙、战术和恶意软件变种层出不穷，又迅速更迭。如今的网络犯罪早已不是零散个体的“单打独斗”，而是一个拥有复杂供应链、专业分工和规模效应的成熟“产业“ 网络威胁情报的核心驱动力之一，正是网络犯罪生态的快速演变 正因如此，应对网络犯罪必须深入理解这个具有真实世界影响的地下经济体系。以LockBit勒索软件团伙为例：乍看之下，外行可能以为它只是几个全能黑客在系统性地攻击企业。但事实上，LockBit的成功完全依赖于过去十年逐步形成的多层次黑产供应链。信息窃取型恶意软件和漏洞利用工具为“初始访问代理“（IABs）提供了可扩展的入侵手段，他们攻陷企业环境后，再将访问权限转卖给勒索软件“附属团伙”。这些附属团伙本质上是独立运营的攻击者，代表LockBit发动攻击，从而实现了数干起成功勒索事件，累计勒索金额高达数亿美元3。 因此，有效的情报团队核心任务之一，就是深入剖析这一生态的组成要素、攻击实施路径，尤其是其中可被阻断的关键节点。这不仅是理解威胁的基础，更是企业实质性降低风险的重大契机。 信息窃取型恶意软件 信息窃取型恶意软件是一类专门感染终端设备、窃取浏览器中保存的凭证及其他高度敏感信息（如会话Cookie、浏览历史、自动填充数据等）的恶意程序。窃取的数据会被上传至攻击者控制的命令与控制（C2）服务器，形成所谓的“窃取日志"（stealerlog），其中包含单个用户设备上的全部敏感信息。 过去五年间，信息窃取型恶意软件在网络犯罪生态中迅速崛起，已成为企业安全团队面临的主要挑战之 以网络威胁情报构建威胁驱动型网络安全体系 这类恶意软件通常通过用户无意点击恶意广告而悄然植入设备。许多员工习惯在个人设备上保存公司账号凭证，或在办公设备上浏览非工作相关网站，一旦感染，攻击者便能一次性窃取数十个凭证-一这些凭证往往可直接访问企业的IT基础设施、人力资源系统、财务平台及其他敏感业务系统。 暗网已形成成熟的"自动贩卖市场"（autoshops），如知名的RussianMarket，以及各类私密即时通讯群组，每年交易数以百万计的日志数据，利润丰厚。 攻击者通常不会独自使用这些“窃取日志”（stealerlogs），而是将其转售牟利。如今，暗网已形成成熟的“自动贩卖市场”（autoshops），如知名的RussianMarket，以及各类私密即时通讯群组，每年交易数以百万计的日志数据，利润丰厚。 据Verizon《2025年数据泄露调查报告》显示，30%的窃取日志来自企业授权使用的设备环境4。若将这一比例放大到数干万份日志总量，意味着企业正面临一个巨大的安全盲区。2023年和2024年发生的多起重大事件也印证了这一点。例如，在对2024年Snowflake客户环境遭攻击事件的调查中发现，犯罪分子所使用的被盗凭证，很多最初正是通过员工终端上的信息窃取型恶意软件获取，并随后在黑市购得5。 尽管信息窃取型恶意软件已成为现代企业环境中最突出的风险暴露面之一，但许多企业仍未部署有效的监测机制。那些已投资建设威胁情报能力的安全团队，能够及时识别这一新兴威胁，并开始引入新的控制措施、技术手段和流程来降低风险。而缺乏成熟威胁情报体系的组织，则错失了关键洞察，难以有效预防、检测和响应此类感染事件。 尽管信息窃取型恶意软件已成为现代企业环境中最突出的风险暴露面之一，但许多企业仍未部署有效的监测机制。 高效威胁情报的最佳实践 信息窃取型恶意软件的泛滥，凸显了建立一支能快速感知并响应威胁变化的情报团队的重要性。要确保威胁情报项目真正见效，必须采取一套紧密围绕企业自身威胁模型的整合性方法。这包括：制定高度具体的优先情报需求（PIRs）、将不同类型的威胁情报与关键业务目标挂钩、广泛征询利益相关方意见，并最终将情报转化为可执行的行动。Https: 以网络威胁情报构建威胁驱动型网络安全体系 优先情报需求（PIRs） PIRs是实现有效威胁情报的枢纽。高质量的PIRS需经过深思熟虑，必须根植于企业独特的威胁模型、风险管理策略和整体业务目标。制定和优化PIRS并非一次性任务，而是一个持续迭代的过程，需要与企业各层级的利益相关方保持密切协作。PIRs应覆盖威胁情报的四大类型：战略型、战术型、作战型和技术型。 有效的PIRs通常具备以下特征： 具体明确：模糊的需求如“监控勒索软件威胁”缺乏指导意义；而精准的问题如“攻击者在同类企业中使用哪些社会工程手段绕过客服身份验证？”则能引导情报聚焦。可操作性强：每项PIR都应能推动具体决策或行动。无法支撑决策的情报只是学术研究，而非实战所需。可衡量：PIRs应便于追踪进展，并评估缓解措施的实际成效。有时效性：需明确情报更新频率和响应时限。w.isaca. 一个准确反映企业真实风险优先级的威胁模型，能帮助业务与风控负责人制定出与风险目标一致的PIRS。例如：Https:/ /ww 1．一家加密货币交易所意识到，关键员工账户一旦被攻陷，可能导致重大安全事件，并造成数百万美元的损失。 2．该企业围绕“识别攻击者最常用于攻陷账户的技术手段"设立了优先情报需求（PIR）。 3．威胁情报团队发现，"ScatteredSpider"等攻击组织正越来越多地通过社会工程手段欺骗帮助台，以接管高管账户。 4．该加密货币交易所随即加强了对所有IT支持人员的帮助台安全培训，并为可疑事件建立了专门的上报与升级处理流程。 5．在接下来的六个月中，该交易所成功检测并阻止了两起针对其帮助台的社会工程攻击。 将不同类型的威胁情报映射到业务需求 网络威胁情报形式多样，其内容和重点取决于企业的风险状况、威胁模型及自身能力。通常可分为四类：战略型、战术型、作战型和技术型。将情报按此分类，并分别对接具体的业务与风控需求，有助于高效管理整个情报项目。 战略威胁情报 战略威胁情报是一种高层级的分析，旨在为企业领导者提供对整体威胁态势的洞察。它审视地缘政治、经济、监管以及行业特定等因素，这些因素可能影响网络威胁发生的可能性、潜在影响或演变趋势。其目标是为长期业务战略、风险管理优先事项以及投资决策提供依据。 示例 威胁情报团队为一家金融服务公司的董事会准备了一份一至两页的简报，分析朝鲜方面如何利用洗钱手段针对该行业，并概述了潜在的应对措施。 以网络威胁情报构建威胁驱动型网络安全体系 战术威胁情报 战术威胁情报将攻击者的战术、技术与过程（TTPs）转化为近期可执行的防御措施。它评估最有可能影响企业的具体攻击技术，并指导对安全控制措施、业务流程和员工行为进行切实改进，从而可衡量地降低风险。 示例 在发现员工个人设备上信息窃取型恶意软件（infostealermalware）显著增加，并已捕获存储的企业凭证后，该企业终止了自带设备（BYOD）访问权限，并缩短了其身份与访问管理（IAM）平台中会话Cookie的生存时间（TTL），以限制令牌重放攻击和横向移动。 运营威胁情报 与战术情报不同一后者评估广泛的外部TTPs及其对安全控制设计的影响运营情报则基于与特定组织资 示例 一家中型医院将其安全运营与暗网监控订阅服务集成。当员工被泄露的凭证出现在犯罪交易市场时，该情报源会自动触发受影响账户的密码重置，从而降低未授权访问的风险。 技术威胁情报 技术威胁情报由机器可读或接近机器可读的工件组成，防御人员可将其直接集成到安全工具中，用于丰富遥测数据、指导威胁特猎，并自动阻断恶意活动。其最常见的形式包括失陷指标（1oCs），例如文件哈希值恶意域名、IP地址和URL，以及检测规则（如YARA规则、Sigma规则）和A