威胁情报是对现有或即将发生的针对资产有威胁的了解，包括情景、机制、指标、影响和可操作的建议等，可以为主体提供应对威胁的策略。威胁情报颠覆了传统的安全防御思维，将传统的被动防御转变为主动防御。威胁情报主要帮助安全管理人员及时了解系统的安全态势，并对威胁动向做出合理的预判。

威胁情报的作用

1、安全模式突破和完善

基于威胁情报的防御思路是以威胁为中心的，因此，需要对关键设施面临的威胁做全面的了解，建立一种新型高效的安全防御体系。这样的安全防御体系往往需要安全人员对攻击战术、方法和行为模式等有深入的理解。

2、应急检测和主动防御

基于威胁情报数据，可以不断创建恶意代码或行为特征的签名，或者生成NFT(网络取证工具)、SIEM/SOC（安全信息与事件管理/安全管理中心）、ETDR（终端威胁检测及响应）等产品的规则，实现对攻击的应急检测。如果威胁情报是IP、域名、URL等具体上网属性信息，则还可应用于各类在线安全设备对即有攻击进行实时的阻截与防御。

3、安全分析和事件响应

安全威胁情报可以让安全分析和事件响应工作处理变得更简单、更高效。例如，可依赖威胁情报区分不同类型的攻击，识别出潜在的APT高危级别攻击，从而实现对攻击的及时响应;可利用威胁情报预测既有的攻击线索可能造成的恶意行为，从而实现对攻击范围的快速划定；可建立威胁情报的检索，从而实现对安全线索的精确挖掘。

威胁情报的四种类型

1、战略威胁情报(Strategic Threat Intelligence)

提供一个全局视角看待威胁环境和业务问题，它的目的是告知执行董事会和高层人员的决策。战略威胁情报通常不涉及技术性情报，主要涵盖诸如网络攻击活动的财务影响、攻击趋势以及可能影响高层商业决策的领域。

2、运营威胁情报(Operational Threat Intelligence)

与具体的、即将发生的或预计发生的攻击有关。它帮助高级安全人员预测何时何地会发生攻击，并进行针对性的防御。

3、战术威胁情报(Tactical Threat Intelligence)

关注于攻击者的TTP，其与针对特定行业或地理区域范围的攻击者使用的特定攻击向量有关。并且由类似应急响应人员确保面对此类威胁攻击准备好相应的响应和行动策略。

4、技术威胁情报(Technical Threat Intelligence)

主要是失陷标识，可以自动识别和阻断恶意攻击行为。

近年来，威胁情报行业发展迅速。企业通过建立威胁情报中心，可以从网络犯罪、信誉数据库、漏洞、恶意软件等多个角度满足不同用户的特定需求。威胁情报的关键在于实现情报信息的共享，只有建立威胁情报共享机制，让有价值的情报有效流通，才能真正建立威胁情报生态系统。