問題不在於我們缺乏威脅情報,而是我們缺乏正確的情報類型,也就是能夠將你內部環境正在發生的事情與攻擊者在外部環境的計畫連結起來的情報。
這就是為什麼兩種威脅情報至關重要:內部情報和外部情報。單獨來看,它們各自只能揭示部分真相;而結合起來,才能使情況更加清晰明了。
為什麼僅靠威脅情報不足以應付挑戰
大多數組織都訂閱了多個威脅情報來源。這些情報源來自四面八方,內容雜亂無章、缺乏針對性,而且往往存在延遲。它們非但沒有澄清風險,反而使風險更加複雜。
「企業仍然基於不完整或不完善的威脅資料做出關鍵決策。」
— Gartner,《威脅情報的演進是統一網路風險情報》,2025年
結果如何?警報數量空前增加,但應對攻擊者的能力越來越弱。安全營運中心 (SOC)分析師花費數小時處理重複警報。漏洞團隊疲於應對可能永遠不會被利用的 CVE 漏洞。基礎設施團隊因擔心破壞生產環境而猶豫不決,不敢強制執行變更。風險管理負責人難以報告和量化風險降低。而且,漏洞依然存在。
答案並非在於提供另一個資訊來源,而是理解背景。你需要知道哪些訊號至關重要,哪些資產真正暴露在外,以及哪些威脅正被積極地用於攻擊你或與你類似的組織。這一切始於兩個截然不同的視角:由內而外、由外而內。
內部威脅情報不僅僅是了解你公司內部的狀況
大多數人一聽到“內部威脅情報”,就會想到來自自身環境的日誌和遙測數據。這固然是其中的一部分,但並非全部。只有將內部情報與全球視野結合,才能真正發揮其威力。
這就是ThreatCloudAI的用武之地。 ThreatCloud 是 Check Point 的情報骨幹,它持續不斷地在全球收集最新的入侵指標 (IoC) 和防護措施。每天,數百萬個訊號從開源管道、暗網監控以及 Check Point 在網關、終端和雲端環境中的自有安全措施點湧入。人工智慧和機器學習技術會對這些訊號進行篩選,從噪音中區分出真正的新興模式。
企業遙測資料流回饋至 ThreatCloud,ThreatCloud 會根據實際上下文驗證訊號並賦予其權重。作為回報,ThreatCloud 會提供可用於強制執行的元件,包括 IPS 防護、自適應黑名單和 IoC,這些元件可應用於 Check Point 生態系統及其他領域。
這並非傳統意義上的「內在」因素。它是一種雙向智慧結構:你的環境影響著全局模式,而全域模式反過來又強化著你的環境。結果如何?一幅即時且經過驗證的、關於目前可利用資源的圖景。
外部威脅情報如何發揮作用?
現在換個角度來看。外部情報揭示了對手在你安全邊界之外的活動。它包括暗網和深網的交流、品牌濫用、洩漏的憑證、惡意網域和釣魚工具包。在這裡,他們的意圖變得顯而易見。
外部情報回答了以下問題:攻擊者目前正以什麼為目標,並利用什麼武器攻擊我?
外部情報不僅僅是掃描通用威脅,更重要的是了解威脅行為者的意圖並確定風險優先順序。
威脅行為者並非只是臨時抱佛腳,他們會經營釣魚工廠、自動化網域冒充,並在暗網上交易最新的憑證。有效的外部威脅情報解決方案會持續監控開放網路、深層網路和暗網,尋找重要的訊號:洩漏的憑證、釣魚工具包、欺詐性的社群媒體帳號和惡意應用程式。
警惕網路釣魚。根據IBM X-Force 統計,30% 的企業資料外洩事件始於網路釣魚。外部威脅情報,例如相似網域監控、社群媒體掃描和暗網釣魚工具包監控,能夠幫助企業及早發現身分冒用攻擊。
洩漏的憑證是另一個隱形的殺手。 Check Point 報告稱,2025 年洩漏的憑證數量將比 2024 年增加 160%,其中 22% 的資料外洩事件與被盜登入資訊有關。這些憑證不僅會被隨意丟棄,還會被出售到封閉的論壇,甚至與釣魚工具包捆綁在一起。外部威脅情報可以偵測到這些洩漏事件,向組織發出警報,並在攻擊者入侵之前幫助阻止帳戶被盜用。
外部威脅情報還包括對深網和暗網的監控。自動化爬蟲收集的訊息,輔以分析師與隱藏社群中的威脅行為者互動,可以取得自動化爬蟲無法觸及的情報。這種人機結合的方法能夠提供經過驗證、情境化的洞察,並根據您的行業和資產量身定制。
外部威脅情報並非孤立的學科。它的真正價值在於與內部情報結合,建構統一的情報體系。這種融合使安全團隊能夠全面了解攻擊者的計劃、已暴露的安全漏洞以及現有的防護措施。
「許多組織難以有效利用威脅情報,發現很難及時、可靠地識別迫在眉睫的威脅,從而無法提前調動內部資源。」
—喬納森·努涅斯,《威脅情報的演進:統一網路風險情報》,2025年9月15日,ID 00825638G
缺乏外部背景資訊的內部訊號會導致盲目優先判斷,缺乏內部資訊資訊的外部訊號則會導致雜訊。兩者融合時,便能建構統一的智慧網絡,從而展現更廣闊的圖像。
這意味著敵對攻擊活動、洩漏的憑證、網路釣魚工具包和品牌濫用指標與實際暴露在環境中的內容有關。
為什麼這很重要?因為上下文會改變一切。暗網論壇上洩漏的密碼固然令人擔憂,但如果該帳戶還能存取配置錯誤的雲端資源,那就非常嚴重了。
針對您品牌的網路釣魚網域固然危險,但如果您的電子郵件閘道缺乏適當的保護措施,那就更加緊急了。統一智慧能夠將這些環節連結起來,讓安全團隊能夠像攻擊者一樣看待風險:涵蓋整個攻擊面。
這種清晰的思路可以將無休止的噪音轉化為可執行的優先事項。
當內部遙測資料與外部訊號匯合時,組織將獲得前所未有的東西:信心。這種信心源自於決策基於真實風險而非猜測;源自於資源集中用於有效降低風險;源自於風險敞口不僅被列出,更被置於具體情境中理解。
這種整合視圖不僅能幫助安全營運中心 (SOC) 分析師更快地進行風險分類,還能幫助首席資訊安全長 (CISO) 以業務術語傳達風險,幫助漏洞團隊停止追蹤無關的漏洞編號 (CVE),並幫助基礎設施團隊了解哪些控制措施真正能夠降低風險敞口。
透過整合 ThreatCloudAI 的全球情報、企業遙測數據和 Check Point 的外部風險洞察,我們能夠提供這種優勢。
有兩種威脅情報並非可有可無,而是至關重要。內部情報揭露哪些漏洞尚未開放且可被利用,外部情報則揭露哪些漏洞已被針對並被武器化。兩者結合,才能讓你清楚了解威脅所在,以便採取行動。
了解更多信息,請閱讀我們的電子書《曝光大重置》。
文章來源/Check Point Blog Check Point Blog
返回