DDoS（分布式拒絕服務(wù)）攻擊已成為各種企業(yè)（小到區(qū)域性小公司大到各種跨國公司）的主要威脅，DDoS 攻擊可能會對企業(yè)造成重大損害和破壞，比如對目標(biāo)公司的聲譽(yù)產(chǎn)生不利影響并導(dǎo)致收入損失。這也是為什么現(xiàn)在許多企業(yè)都開始加大使用威脅情報平臺（TIP）作為保護(hù)其網(wǎng)絡(luò)免受 DDoS 攻擊的投資的一部分的重大原因。

什么是威脅情報源？

威脅情報系統(tǒng)是提供有關(guān)已知和新出現(xiàn)威脅的信息的數(shù)據(jù)集合，作為DDoS保護(hù)空間的一部分，威脅情報源提供有關(guān)已知DDoS攻擊及其特征的信息，例如源攻擊者的IP、發(fā)起的攻擊類型和目標(biāo)IP地址，這些源的結(jié)構(gòu)范圍廣泛，可以包括攻擊模式、事件、惡意軟件、網(wǎng)絡(luò)釣魚活動等。

威脅情報源是如何創(chuàng)建的？

威脅情報源通常由專門從事網(wǎng)絡(luò)安全的組織創(chuàng)建，例如安全供應(yīng)商、威脅情報提供商、政府機(jī)構(gòu)、開源情報平臺和安全研究公司。這些組織從各種來源收集和分析威脅數(shù)據(jù)，例如網(wǎng)絡(luò)流量指標(biāo)、開源情報、暗網(wǎng)論壇甚至社交媒體。

為什么威脅情報源很重要？

雖然有些人可能認(rèn)為威脅情報源必要性不高的，因為他們已經(jīng)有了針對零日攻擊的保護(hù)，但事實證明并非如此。通俗來說，就像一名通緝犯正在各國之間旅行，如果您知道罪犯已被提前確定為嫌疑人并被阻止進(jìn)入，那么您在的國家會感到更加安全。作為該服務(wù)的一部分，火傘云的 DefensePro 設(shè)備可根據(jù)其現(xiàn)有數(shù)據(jù)庫識別攻擊特征，然后在流量穿過網(wǎng)絡(luò)之前就將其阻止。如果我們沒有標(biāo)記他，那么他就可以在最初的階段逃走，最終到我們國家的邊境。雖然他在進(jìn)入國境之前必須經(jīng)過安全檢查。但在DDoS世界中，安全檢查本身就代表源的活動，情報源的主要作用是控制邊境交通，而所有嘗試訪問您的網(wǎng)絡(luò)的已知攻擊者將通過源中收集的信息來識別，當(dāng)識別完成后他們的流量將被DefensePro阻止。

讓我們假設(shè)罪犯非常狡猾，并且能夠克服這兩個障礙并進(jìn)入您的國家。在這個階段，安全掌握在安全機(jī)構(gòu)手中，他們利用自己的能力找到罪犯并將其驅(qū)逐出您的國家。威脅情報源的好處是，對于已知的攻擊和攻擊者，系統(tǒng)會將惡意流量保留在您的邊界之外。它們還提供有關(guān)新興威脅、已知惡意軟件系列和其他指標(biāo)的大量信息，可幫助您在攻擊造成損害之前識別和阻止攻擊。這可以包括有關(guān)最新攻擊技術(shù)、惡意軟件樣本和可用于開發(fā)新漏洞的漏洞的信息。

此外，源可以幫助識別和阻止零日引擎可能錯過的攻擊。這些攻擊可能包括依賴社會工程或其他非純粹技術(shù)性技術(shù)的攻擊。通過將源與零日引擎結(jié)合使用，安全團(tuán)隊可以領(lǐng)先于不斷變化的威脅形勢，并更好地保護(hù)其網(wǎng)絡(luò)和數(shù)據(jù)。

威脅情報源的類型

威脅情報的來源范圍十分廣泛，以下是網(wǎng)絡(luò)行業(yè)中使用的一些常見類型：

1.妥協(xié)指標(biāo) (IOC) 源

包含與威脅行為者或惡意活動相關(guān)的特定工件，例如IP地址、域名、文件哈希和電子郵件地址。它提供了觀察到的最新IOC列表，安全產(chǎn)品可以使用它來檢測和阻止攻擊。

2.戰(zhàn)術(shù)威脅情報源

提供有關(guān)特定威脅及其戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 的信息。它可以包括有關(guān)所使用的惡意軟件、攻擊媒介以及威脅行為者所使用的基礎(chǔ)設(shè)施的詳細(xì)信息。

3.戰(zhàn)略威脅情報源

提供了更廣泛的威脅態(tài)勢視圖，它包括對威脅行為者的動機(jī)、目標(biāo)和策略的洞察。此外，它還可用于告知安全策略和政策，并在潛在威脅變成攻擊之前識別它們。

4.運營威脅情報源

提供有關(guān)主動針對組織的威脅的實時信息，它可用于確定安全警報和響應(yīng)的優(yōu)先級，并協(xié)調(diào)事件響應(yīng)活動。

5.開源情報 (OSINT) 源

提供有關(guān)在社交媒體、新聞文章和論壇等公開來源中觀察到的威脅的信息。它可用于識別新出現(xiàn)的威脅并跟蹤威脅行為者的活動。

選擇正確的威脅情報源的技巧

1.注意與您的域的相關(guān)性。如前所述，威脅情報源的類型種類繁多，每種都有自己的側(cè)重點。例如，作為 DDoS 保護(hù)消費者，您需要確保收到的源包含可以改善您的保護(hù)并專注于您的需求的信息，如IP地址等。

2.對正在發(fā)生的攻擊的描述。您選擇的源應(yīng)實時更新，并提供有關(guān)大范圍攻擊的全局?jǐn)?shù)據(jù)，動態(tài)性是您選擇威脅情平臺的所需要的一個基本特征。

3.更新速度快。威脅情報源指標(biāo)的相關(guān)性可能很短，并且可能會迅速變化，因此它也應(yīng)該快速更新。

4.源類型分類。根據(jù)威脅行為者的類型，必須考慮進(jìn)行分類，不同的類別可能需要不同的處理方式。例如，一些威脅行為者是公司的競爭對手，并試圖竊取專有信息。

5.可見性和控制。作為消費者，您需要能夠輕松配置您的類別并管理您的信息。

威脅情報源應(yīng)該成為安全計劃的組成部分

網(wǎng)絡(luò)威脅正在以驚人的速度增長，這也是威脅情報源成為需要保護(hù)自己免受 DDoS 攻擊的企業(yè)的重要工具的眾多原因之一。通過將EAAF等威脅情報源合并到您的 DDoS 防護(hù)系統(tǒng)中，您可以提高安全性并最大限度地降低中斷和聲譽(yù)損害的風(fēng)險。