DDoS（分布式拒絕服務）攻擊已成為各種企業（小到區域性小公司大到各種跨國公司）的主要威脅，DDoS 攻擊可能會對企業造成重大損害和破壞，比如對目標公司的聲譽產生不利影響并導致收入損失。這也是為什么現在許多企業都開始加大使用威脅情報平臺（TIP）作為保護其網絡免受 DDoS 攻擊的投資的一部分的重大原因。

一、什么是威脅情報源？

威脅情報系統是提供有關已知和新出現威脅的信息的數據集合，作為DDoS保護空間的一部分，威脅情報源提供有關已知DDoS攻擊及其特征的信息，例如源攻擊者的IP、發起的攻擊類型和目標IP地址，這些源的結構范圍廣泛，可以包括攻擊模式、事件、惡意軟件、網絡釣魚活動等。

二、威脅情報源是如何創建的？

威脅情報源通常由專門從事網絡安全的組織創建，例如安全供應商、威脅情報提供商、政府機構、開源情報平臺和安全研究公司。這些組織從各種來源收集和分析威脅數據，例如網絡流量指標、開源情報、暗網論壇甚至社交媒體。

三、為什么威脅情報源很重要？

雖然有些人可能認為威脅情報源必要性不高的，因為他們已經有了針對零日攻擊的保護，但事實證明并非如此。通俗來說，就像一名通緝犯正在各國之間旅行，如果您知道罪犯已被提前確定為嫌疑人并被阻止進入，那么您在的國家會感到更加安全。作為該服務的一部分，火傘云的DefensePro 設備可根據其現有數據庫識別攻擊特征，然后在流量穿過網絡之前就將其阻止。如果我們沒有標記他，那么他就可以在最初的階段逃走，最終到我們國家的邊境。雖然他在進入國境之前必須經過安全檢查。但在DDoS世界中，安全檢查本身就代表源的活動，情報源的主要作用是控制邊境交通，而所有嘗試訪問您的網絡的已知攻擊者將通過源中收集的信息來識別，當識別完成后他們的流量將被DefensePro阻止。

讓我們假設罪犯非常狡猾，并且能夠克服這兩個障礙并進入您的國家。在這個階段，安全掌握在安全機構手中，他們利用自己的能力找到罪犯并將其驅逐出您的國家。威脅情報源的好處是，對于已知的攻擊和攻擊者，系統會將惡意流量保留在您的邊界之外。它們還提供有關新興威脅、已知惡意軟件系列和其他指標的大量信息，可幫助您在攻擊造成損害之前識別和阻止攻擊。這可以包括有關最新攻擊技術、惡意軟件樣本和可用于開發新漏洞的漏洞的信息。

此外，源可以幫助識別和阻止零日引擎可能錯過的攻擊。這些攻擊可能包括依賴社會工程或其他非純粹技術性技術的攻擊。通過將源與零日引擎結合使用，安全團隊可以領先于不斷變化的威脅形勢，并更好地保護其網絡和數據。

四、威脅情報源的類型

威脅情報的來源范圍十分廣泛，以下是網絡行業中使用的一些常見類型：

1.妥協指標(IOC) 源

包含與威脅行為者或惡意活動相關的特定工件，例如IP地址、域名、文件哈希和電子郵件地址。它提供了觀察到的最新IOC列表，安全產品可以使用它來檢測和阻止攻擊。

2.戰術威脅情報源

提供有關特定威脅及其戰術、技術和程序 (TTP) 的信息。它可以包括有關所使用的惡意軟件、攻擊媒介以及威脅行為者所使用的基礎設施的詳細信息。

3.戰略威脅情報源

提供了更廣泛的威脅態勢視圖，它包括對威脅行為者的動機、目標和策略的洞察。此外，它還可用于告知安全策略和政策，并在潛在威脅變成攻擊之前識別它們。

4.運營威脅情報源

提供有關主動針對組織的威脅的實時信息，它可用于確定安全警報和響應的優先級，并協調事件響應活動。

5.開源情報(OSINT) 源

提供有關在社交媒體、新聞文章和論壇等公開來源中觀察到的威脅的信息。它可用于識別新出現的威脅并跟蹤威脅行為者的活動。

五、選擇正確的威脅情報源的技巧

1.注意與您的域的相關性。如前所述，威脅情報源的類型種類繁多，每種都有自己的側重點。例如，作為 DDoS 保護消費者，您需要確保收到的源包含可以改善您的保護并專注于您的需求的信息，如IP地址等。

2.對正在發生的攻擊的描述。您選擇的源應實時更新，并提供有關大范圍攻擊的全局數據，動態性是您選擇威脅情平臺的所需要的一個基本特征。

3.更新速度快。威脅情報源指標的相關性可能很短，并且可能會迅速變化，因此它也應該快速更新。

4.源類型分類。根據威脅行為者的類型，必須考慮進行分類，不同的類別可能需要不同的處理方式。例如，一些威脅行為者是公司的競爭對手，并試圖竊取專有信息。

5.可見性和控制。作為消費者，您需要能夠輕松配置您的類別并管理您的信息。

六、威脅情報源應該成為安全計劃的組成部分

網絡威脅正在以驚人的速度增長，這也是威脅情報源成為需要保護自己免受DDoS 攻擊的企業的重要工具的眾多原因之一。通過將EAAF等威脅情報源合并到您的 DDoS 防護系統中，您可以提高安全性并最大限度地降低中斷和聲譽損害的風險。

審核編輯 黃宇