许多组织选择通过多种方式共享网络威胁情报(Cyber Threat Intelligence, CTI)订阅各种信息源,其中包括妥协指标方案(Indicators of Compromise, IOC)。在当前市场上,威胁情报最普遍的使用场景是利用IOC情报(Indicators of Compromise, IOC)进行日志检测来发现内部重要风险。这种方式可以发现传统安全产品无法发现的很多威胁,并且因为这其中大多是已经被成功攻击的操作,所以“亡羊补牢”对于安全运营仍会有较大的帮助。该方法的核心是从浩如烟海的日志数据中提取出威胁情报,此时,威胁情报的数目仍然较为庞大,需要从威胁情报中进一步提取出具有实用价值的IOC情报以进一步在安全社区内共享,这就要求根据情报本身质量过滤IOC情报,例如相关性、及时性、准确性、可指导响应的上下文等,上下文问题除了一般会考虑到的风险等级、可信度等信息外,还需要提供相关攻击团伙和家族的攻击目的、危害、技战术等相关的内容,提供相关的远控端是否活跃,是否已经被安全厂商接管等信息,以此响应团队可以判定是否需要响应,哪个事件的优先级更高等。
