DDoS（分布式拒絕服務(wù)）攻擊已成為各種企業(yè)（小到區(qū)域性小公司大到各種跨國(guó)公司）的主要威脅，DDoS 攻擊可能會(huì)對(duì)企業(yè)造成重大損害和破壞，比如對(duì)目標(biāo)公司的聲譽(yù)產(chǎn)生不利影響并導(dǎo)致收入損失。這也是為什么現(xiàn)在許多企業(yè)都開始加大使用威脅情報(bào)平臺(tái)（TIP）作為保護(hù)其網(wǎng)絡(luò)免受 DDoS 攻擊的投資的一部分的重大原因。

一、什么是威脅情報(bào)源？

威脅情報(bào)系統(tǒng)是提供有關(guān)已知和新出現(xiàn)威脅的信息的數(shù)據(jù)集合，作為DDoS保護(hù)空間的一部分，威脅情報(bào)源提供有關(guān)已知DDoS攻擊及其特征的信息，例如源攻擊者的IP、發(fā)起的攻擊類型和目標(biāo)IP地址，這些源的結(jié)構(gòu)范圍廣泛，可以包括攻擊模式、事件、惡意軟件、網(wǎng)絡(luò)釣魚活動(dòng)等。

二、威脅情報(bào)源是如何創(chuàng)建的？

威脅情報(bào)源通常由專門從事網(wǎng)絡(luò)安全的組織創(chuàng)建，例如安全供應(yīng)商、威脅情報(bào)提供商、政府機(jī)構(gòu)、開源情報(bào)平臺(tái)和安全研究公司。這些組織從各種來源收集和分析威脅數(shù)據(jù)，例如網(wǎng)絡(luò)流量指標(biāo)、開源情報(bào)、暗網(wǎng)論壇甚至社交媒體。

三、為什么威脅情報(bào)源很重要？

雖然有些人可能認(rèn)為威脅情報(bào)源必要性不高的，因?yàn)樗麄円呀?jīng)有了針對(duì)零日攻擊的保護(hù)，但事實(shí)證明并非如此。通俗來說，就像一名通緝犯正在各國(guó)之間旅行，如果您知道罪犯已被提前確定為嫌疑人并被阻止進(jìn)入，那么您在的國(guó)家會(huì)感到更加安全。作為該服務(wù)的一部分，火傘云的DefensePro 設(shè)備可根據(jù)其現(xiàn)有數(shù)據(jù)庫(kù)識(shí)別攻擊特征，然后在流量穿過網(wǎng)絡(luò)之前就將其阻止。如果我們沒有標(biāo)記他，那么他就可以在最初的階段逃走，最終到我們國(guó)家的邊境。雖然他在進(jìn)入國(guó)境之前必須經(jīng)過安全檢查。但在DDoS世界中，安全檢查本身就代表源的活動(dòng)，情報(bào)源的主要作用是控制邊境交通，而所有嘗試訪問您的網(wǎng)絡(luò)的已知攻擊者將通過源中收集的信息來識(shí)別，當(dāng)識(shí)別完成后他們的流量將被DefensePro阻止。

讓我們假設(shè)罪犯非常狡猾，并且能夠克服這兩個(gè)障礙并進(jìn)入您的國(guó)家。在這個(gè)階段，安全掌握在安全機(jī)構(gòu)手中，他們利用自己的能力找到罪犯并將其驅(qū)逐出您的國(guó)家。威脅情報(bào)源的好處是，對(duì)于已知的攻擊和攻擊者，系統(tǒng)會(huì)將惡意流量保留在您的邊界之外。它們還提供有關(guān)新興威脅、已知惡意軟件系列和其他指標(biāo)的大量信息，可幫助您在攻擊造成損害之前識(shí)別和阻止攻擊。這可以包括有關(guān)最新攻擊技術(shù)、惡意軟件樣本和可用于開發(fā)新漏洞的漏洞的信息。

此外，源可以幫助識(shí)別和阻止零日引擎可能錯(cuò)過的攻擊。這些攻擊可能包括依賴社會(huì)工程或其他非純粹技術(shù)性技術(shù)的攻擊。通過將源與零日引擎結(jié)合使用，安全團(tuán)隊(duì)可以領(lǐng)先于不斷變化的威脅形勢(shì)，并更好地保護(hù)其網(wǎng)絡(luò)和數(shù)據(jù)。

四、威脅情報(bào)源的類型

威脅情報(bào)的來源范圍十分廣泛，以下是網(wǎng)絡(luò)行業(yè)中使用的一些常見類型：

1.妥協(xié)指標(biāo)(IOC) 源

包含與威脅行為者或惡意活動(dòng)相關(guān)的特定工件，例如IP地址、域名、文件哈希和電子郵件地址。它提供了觀察到的最新IOC列表，安全產(chǎn)品可以使用它來檢測(cè)和阻止攻擊。

2.戰(zhàn)術(shù)威脅情報(bào)源

提供有關(guān)特定威脅及其戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 的信息。它可以包括有關(guān)所使用的惡意軟件、攻擊媒介以及威脅行為者所使用的基礎(chǔ)設(shè)施的詳細(xì)信息。

3.戰(zhàn)略威脅情報(bào)源

提供了更廣泛的威脅態(tài)勢(shì)視圖，它包括對(duì)威脅行為者的動(dòng)機(jī)、目標(biāo)和策略的洞察。此外，它還可用于告知安全策略和政策，并在潛在威脅變成攻擊之前識(shí)別它們。

4.運(yùn)營(yíng)威脅情報(bào)源

提供有關(guān)主動(dòng)針對(duì)組織的威脅的實(shí)時(shí)信息，它可用于確定安全警報(bào)和響應(yīng)的優(yōu)先級(jí)，并協(xié)調(diào)事件響應(yīng)活動(dòng)。

5.開源情報(bào)(OSINT) 源

提供有關(guān)在社交媒體、新聞文章和論壇等公開來源中觀察到的威脅的信息。它可用于識(shí)別新出現(xiàn)的威脅并跟蹤威脅行為者的活動(dòng)。

五、選擇正確的威脅情報(bào)源的技巧

1.注意與您的域的相關(guān)性。如前所述，威脅情報(bào)源的類型種類繁多，每種都有自己的側(cè)重點(diǎn)。例如，作為 DDoS 保護(hù)消費(fèi)者，您需要確保收到的源包含可以改善您的保護(hù)并專注于您的需求的信息，如IP地址等。

2.對(duì)正在發(fā)生的攻擊的描述。您選擇的源應(yīng)實(shí)時(shí)更新，并提供有關(guān)大范圍攻擊的全局?jǐn)?shù)據(jù)，動(dòng)態(tài)性是您選擇威脅情平臺(tái)的所需要的一個(gè)基本特征。

3.更新速度快。威脅情報(bào)源指標(biāo)的相關(guān)性可能很短，并且可能會(huì)迅速變化，因此它也應(yīng)該快速更新。

4.源類型分類。根據(jù)威脅行為者的類型，必須考慮進(jìn)行分類，不同的類別可能需要不同的處理方式。例如，一些威脅行為者是公司的競(jìng)爭(zhēng)對(duì)手，并試圖竊取專有信息。

5.可見性和控制。作為消費(fèi)者，您需要能夠輕松配置您的類別并管理您的信息。

六、威脅情報(bào)源應(yīng)該成為安全計(jì)劃的組成部分

網(wǎng)絡(luò)威脅正在以驚人的速度增長(zhǎng)，這也是威脅情報(bào)源成為需要保護(hù)自己免受DDoS 攻擊的企業(yè)的重要工具的眾多原因之一。通過將EAAF等威脅情報(bào)源合并到您的 DDoS 防護(hù)系統(tǒng)中，您可以提高安全性并最大限度地降低中斷和聲譽(yù)損害的風(fēng)險(xiǎn)。

審核編輯 黃宇