威脅情報源（Threat intelligence feed）是一種提供關(guān)于最新網(wǎng)絡(luò)威脅和攻擊信息的數(shù)據(jù)流，其中涉及漏洞、惡意軟件、網(wǎng)絡(luò)釣魚以及其他惡意攻擊活動。這些數(shù)據(jù)由安全研究人員、行業(yè)監(jiān)管機(jī)構(gòu)以及專業(yè)安全廠商所共同創(chuàng)建，通常采用STIX/TAXII等標(biāo)準(zhǔn)格式，可以與EDR、SIEM、防火墻、威脅情報平臺和其他網(wǎng)絡(luò)安全工具有效集成，從而在極低的預(yù)算投入下，為企業(yè)安全團(tuán)隊和分析師們提供實時威脅信息，以監(jiān)控威脅指標(biāo)（IoCs）、惡意域和其他網(wǎng)絡(luò)威脅。

在當(dāng)今的互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)攻擊事件頻繁發(fā)生，網(wǎng)絡(luò)威脅也日益增多。在此背景下，如何將威脅情報深度應(yīng)用到企業(yè)的安全防護(hù)體系中就顯得尤為重要。如果被合理利用，各種威脅情報數(shù)據(jù)將能幫助分析師更準(zhǔn)確了解安全事件的真相。威脅情報的來源范圍十分廣泛，以下是網(wǎng)絡(luò)安全行業(yè)中使用的常見情報類型：

01、威脅指標(biāo) (IOC) 源

包含與威脅行為者或惡意活動相關(guān)的特定工件，例如IP地址、域名、文件哈希和電子郵件地址。它提供了觀察到的最新IOC列表，安全產(chǎn)品可以使用它來檢測和阻止攻擊。

02、戰(zhàn)術(shù)威脅情報源

提供有關(guān)特定威脅及其戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 的信息。它可以包括有關(guān)所使用的惡意軟件、攻擊媒介以及威脅行為者所使用的基礎(chǔ)設(shè)施的詳細(xì)信息。

03、戰(zhàn)略威脅情報源

提供了更廣泛的威脅態(tài)勢視圖，它包括對威脅行為者的動機(jī)、目標(biāo)和策略的洞察。此外，它還可用于告知安全策略和政策，并在潛在威脅變成攻擊之前識別它們。

04、運營威脅情報源

提供有關(guān)主動針對組織的威脅的實時信息，它可用于確定安全警報和響應(yīng)的優(yōu)先級，并協(xié)調(diào)事件響應(yīng)活動。

05、開源情報 (OSINT) 源

提供有關(guān)在社交媒體、新聞文章和論壇等公開來源中觀察到的威脅的信息。它可用于識別新出現(xiàn)的威脅并跟蹤威脅行為者的活動。

無論企業(yè)組織需要什么類型的威脅情報信息，都可以通過以下6個來源，找到一些公開可用的資源。

1. AlienVault Open Threat Exchange

?由線上社區(qū)驅(qū)動的威脅情報源

美國AT&T公司的AlienVault Open Threat Exchange（OTX）威脅情報源是目前全球最大、最全面的威脅情報社區(qū)之一，有來自140個國家的10萬多名參與者，每天提供超過1900萬個威脅指標(biāo)。OTX是一個完全開放的威脅情報社區(qū)，將威脅研究和安全專業(yè)人員共享的專業(yè)知識免費開放給所有用戶。

除了讓所有類型的用戶都可以使用它的信息流外，OTX在數(shù)據(jù)訪問的便捷性和閱讀感受方面也做得很好。圖形化閱讀界面可以清楚地說明了威脅指標(biāo)（IoC）的數(shù)量和類型，并提供報告來快速總結(jié)威脅及其影響。此外，OTX還共享有關(guān)威脅名稱、任何相關(guān)引用URL、標(biāo)簽、攻擊者背景等方面的信息。

主要特點：

來自140個國家的10萬名參與者和貢獻(xiàn)者；

通過DirectConnect API與其他工具集成；

最全面的威脅情報解決方案之一；

每天發(fā)布的威脅指標(biāo)超過1900萬個；

威脅檢索界面非常直觀，易于閱讀；

利用Pulse Wizard，用戶可以自動化地提取IoC。

不足：

雖然有免費的工具和集成，但OTX與AT&T的付費網(wǎng)絡(luò)安全產(chǎn)品配合更有效；

大規(guī)模眾包方法限制了情報質(zhì)量的提升。

傳送門：

https://cybersecurity.att.com/open-threat-exchange

2. abuse. ch URLhaus?

適合惡意URL檢測

abuse. ch URLhaus項目可以將有關(guān)惡意url的情報數(shù)據(jù)編譯到用戶的數(shù)據(jù)庫中。盡管任何人都可以訪問這些免費的信息源及其生成的詳細(xì)數(shù)據(jù)庫，但abuse. ch公司特別指出，該解決方案更適合網(wǎng)絡(luò)運營商、互聯(lián)網(wǎng)服務(wù)提供商（ISP）、計算機(jī)應(yīng)急響應(yīng)小組（CERT）和域名管理機(jī)構(gòu)的使用需求。

URLhaus威脅情報項目管理了三個主要的情報源，專注于特定的IP地址和域名異常情況監(jiān)測。一般用戶可以直接從URLhaus網(wǎng)站獲取有關(guān)這些情報源的最新信息。然而，對于想要使用此工具來審查妥協(xié)指標(biāo)或訪問可解析數(shù)據(jù)集的用戶，需要下載URLhaus API。此外，用戶還可以提交自己發(fā)現(xiàn)的惡意URL。

主要特點：

URLhaus的三個主要情報源包括ASN源、國家源和TLD 源，主要用于跟蹤在線和離線的惡意URL；?

URLhaus提供了詳細(xì)的提交策略，以過濾掉無關(guān)惡意軟件的提交結(jié)果；?

擁有全面的、定期更新的惡意軟件URL數(shù)據(jù)庫，有完善的標(biāo)簽；

URLhaus的API和下載選項非常廣泛和多樣，可以滿足不同的用戶偏好。

不足：

只有在URLhaus API中選擇使用數(shù)據(jù)集時，一些自定義功能才可用；?

要通過網(wǎng)絡(luò)提交惡意軟件URL，用戶必須登錄Twitter、Google、LinkedIn或GitHub，但這些都是公開可見的。

傳送門：

https://urlhaus.abuse.ch/

3. Proofpoint ET Intelligence

適合情境化的威脅信息

Proofpoint ET Intelligence項目通過全面的檢索方法來收集并整理威脅情報，可以根據(jù)豐富的應(yīng)用場景來提供威脅情報信息，包括IP地址、域和其他IoC的當(dāng)前和歷史元數(shù)據(jù)。此外，ET Intelligence還可以很好地分離、分類和評分IP地址和域名，并定期進(jìn)行列表更新。

對比本文中所列出的其他5個解決方案，Proofpoint ET Intelligence是情報信息覆蓋度最全面的解決方案，但它的使用價格也是非常昂貴的，適合那些對企業(yè)級威脅解釋和調(diào)查溯源感興趣的用戶。

應(yīng)用特點：

訪問有關(guān)IP、域和其他IoC的歷史元數(shù)據(jù)；?

可搜索的威脅情報門戶，附帶趨勢、時間戳、威脅類型和漏洞利用工具包標(biāo)簽，以及相關(guān)的樣本；??

支持TXT、CSV、JSON和壓縮格式；

可以與多種網(wǎng)絡(luò)安全工具和威脅情報平臺（如Splunk、QRadar、anomaly和ArcSight）集成；?

情報檢索頁面中包括了高度清晰的彩色編碼圖表 。

不足：

目前市場上最昂貴的威脅情報源之一，而且價格還在持續(xù)上漲；

可能與其他網(wǎng)絡(luò)安全工具存在重疊的功能。

傳送門：

https://www.proofpoint.com/us/products/advanced-threat-protection/et-intelligence

4. Spamhaus

適合電子郵件安全和反垃圾郵件

Spamhaus是為電子郵件服務(wù)系統(tǒng)提供威脅情報源和黑名單的專業(yè)服務(wù)商，其威脅情報源項目目前已覆蓋了30多億用戶。用戶可以訪問并應(yīng)用針對郵件攻擊策略、漏洞利用、垃圾郵件問題的阻止列表，還可以在黑名單中修復(fù)不正確的垃圾郵件列表，訪問實時的ISP新聞和信息，并閱讀有關(guān)反垃圾郵件的最佳實踐文檔。

Spamhaus公司目前擁有六個主要威脅情報源和威脅列表，并以此為基礎(chǔ)構(gòu)建了一個全面的電子郵件安全解決方案；事實上，它通常被認(rèn)為是精確、實時的惡意郵件過濾和防護(hù)解決方案。Spamhaus的大部分功能和DNSBL源都是免費提供給用戶的。然而，需要更大規(guī)模的商業(yè)垃圾郵件過濾的用戶和網(wǎng)站將需要訂閱Spamhaus的Datafeed Query Service（DQS）。

應(yīng)用特點：

超過30億用戶收件箱受到Spamhaus威脅情報源和黑名單的保護(hù)，是目前應(yīng)用最廣泛的互聯(lián)網(wǎng)垃圾郵件和惡意軟件攔截工具之一；

具有詳細(xì)的FAQ指南，可為用戶提供專業(yè)指導(dǎo)；

Spamhaus已經(jīng)將它的SBL、XBL和PBL解決方案打包成一個解決方案：Spamhaus Zen，用戶只需要使用一個DNSBL工具；

Spamhaus有一個安全的ROKSO LEA門戶，可以更安全地訪問有關(guān)垃圾郵件操作的機(jī)密記錄。

不足：

某些特性功能只有付費升級到Datafeed Query Service才能使用；?

一些公共IP地址會被Spamhaus誤列入黑名單，修正的過程也比較繁瑣。

傳送門：

https://www.spamhaus.org/

5. SANS: Internet Storm Center

適合于了解和解釋威脅行為

SANS是一家全球性的網(wǎng)絡(luò)安全培訓(xùn)與研究機(jī)構(gòu)，其所屬的Internet Storm Center（ISC）項目是目前市場上值得信賴的威脅情報源之一。這也是一個完全建立在開放協(xié)作基礎(chǔ)上的情報源社區(qū)，由一些威脅情報志愿者處理日常威脅監(jiān)控和文檔。除了一些日常性的情報收集處理程序之外，ISC能夠從企業(yè)用戶處獲取到防火墻和入侵檢測系統(tǒng)等安全工具的運營數(shù)據(jù)。

ISC的獨特性體現(xiàn)在多個方面：首先，其專有的傳感器網(wǎng)絡(luò)和報告設(shè)置模仿能夠為未知威脅提供早期預(yù)警。此外，ISC還關(guān)注如何為解決這些威脅提供程序指導(dǎo)。

應(yīng)用特點：

從50多個國家的50萬個監(jiān)控傳感器中獲取信息；

由志愿者對所監(jiān)測到的安全事件進(jìn)行處理分析，并經(jīng)常更新入侵檢測數(shù)據(jù)庫；

ISC團(tuán)隊可根據(jù)用戶的要求生成自定義的全局威脅態(tài)勢報告；

由具有多年經(jīng)驗的網(wǎng)絡(luò)安全專業(yè)人員組成；

ISC的分布式傳感器網(wǎng)絡(luò)能夠快速識別網(wǎng)絡(luò)各個角落的新威脅。

不足：

將工具集成到專用網(wǎng)絡(luò)和專有系統(tǒng)的能力非常有限；

專家團(tuán)隊的規(guī)模較小，可能會導(dǎo)致分析報告的質(zhì)量和深度難以統(tǒng)一。

傳送門：

https://isc.sans.edu/

6. FBI InfraGard

最適合關(guān)鍵基礎(chǔ)設(shè)施的安全性

InfraGard是由美國聯(lián)邦調(diào)查局（FBI）組織開展并運行的一個網(wǎng)絡(luò)情報源項目，旨在與其他政府機(jī)構(gòu)以及企業(yè)組織建立網(wǎng)絡(luò)威脅信息共享網(wǎng)絡(luò)。企業(yè)組織可以從FBI的內(nèi)部情報信息、經(jīng)驗培訓(xùn)和最佳實踐中受益，同時FBI和其他政府機(jī)構(gòu)也可以第一時間洞察美國關(guān)鍵基礎(chǔ)設(shè)施的安全態(tài)勢和威脅指標(biāo)。InfraGard項目可以免費申請加入，但需要會員資格才能訪問InfraGard資源。

InfraGard的威脅情報資源分為了商業(yè)設(shè)施、運營商、關(guān)鍵制造業(yè)、國防工業(yè)基地、市政服務(wù)、能源、金融服務(wù)、政府設(shè)施、醫(yī)療保健和公共衛(wèi)生等16個領(lǐng)域，通過重點領(lǐng)域劃分，目前可為企業(yè)組織提供具有行業(yè)特性的定制化威脅情報和安全防護(hù)提示。

應(yīng)用特點：

威脅咨詢、情報公報、分析報告和漏洞評估由聯(lián)邦調(diào)查局和其他政府機(jī)構(gòu)與私營部門成員共享；

實現(xiàn)了監(jiān)管機(jī)構(gòu)和企業(yè)組織之間的雙向威脅情報分享；?

16種不同的專門威脅源使用戶能夠?qū)Ｗ⒂谂c其特定部門相關(guān)的威脅；

將政府機(jī)構(gòu)的專業(yè)知識和企業(yè)組織專業(yè)人員相結(jié)合，成員可以獲得針對性的安全培訓(xùn)和資源。

不足：

會員制服務(wù)模式，在一定程度上偏離了傳統(tǒng)的威脅情報工作；

只專注于美國的基礎(chǔ)設(shè)施領(lǐng)域，不適合美國以外的企業(yè)和全球化公司使用。

傳送門：

https://www.infragard.org/

https://www.esecurityplanet.com/products/threat-intelligence-feeds/