什麼是威脅情報？

可以想像是一種資安的服務或平台，專門收集、分析和評估來自各種來源的資訊，以識別、追蹤和預防對組織或系統的潛在威脅。 這些威脅可能包括各種不同類型的惡意活動，例如駭客攻擊、網絡間諜、詐騙或其他形式的網絡犯罪。

那第一個思考的問題是： 你拿到一個威脅情報時，要怎麼考量是不是你需要的？

有效選擇是保護機構和企業安全的關鍵步驟。

在選擇威脅情報資源時，通常依據以下四種評斷標準來進行考量：

1. 及時性(Timeliness)

情報必須是最新的，以反映當前的風險和威脅。隨著威脅不斷演變，過時的情報可能會導致錯誤的決策，因此確保情報的及時性至關重要。

2. 相關性(Relevancy)

只有當情報與組織的業務、資產或利益直接相關時，它才能提供實際價值。相關的情報有助於更好地理解威脅對組織的影響，並支持相應的應對措施。

3. 正確性(Accuracy)

不准確或不可靠的情報可能會導致誤導性的決策，進而增加風險。因此，對情報的來源和驗證過程的可信度至關重要。

4. 可信度(Confidence Level)

可信的情報來源和提供者通常能夠提供更可靠的情報，因為它們有較高的信譽和專業知識。可信度評估有助於組織更好地判斷情報的真實性和可靠性。

在選擇威脅情報資源時，應仔細考慮以上四個評估標準，以確保能夠獲得最有價值的情報，並更好地應對威脅和風險。

以下我們介紹幾種威脅情報來源分類：

常見的威脅情報來源類別：

1. 開源情報（Open Source Intelligence，OSINT）：從公開可獲得的來源，如網絡、社交媒體、新聞和網絡論壇中，獲取的威脅情報。例如，美國電腦緊急事件反應小組（US-CERT）、英國國家網絡安全中心（NCSC）、AT＆T安全、MISP、VirusTotal、Spamhaus、SANS ISC Suspicious Domain。

2. 商業威脅情報公司（Commercial Threat Intelligence Companies）：專業的威脅情報公司提供有關最新威脅趨勢、攻擊技巧和漏洞的深度分析報告。

3. 政府和國際組織情報（Government and International Organizations Intelligence）：政府機構和國際組織提供的有關國家級威脅、情報收集和戰術的信息。

4. 威脅情報共享平台（Threat Intelligence Sharing Platforms）：組織之間共享有關特定威脅的情報，以加強整體防禦。

5. 漏洞信息資料庫（Vulnerability Databases）：關於已知漏洞的信息和修補程序，幫助組織保護其系統和應用程序。

6. 黑暗網絡監控（Dark Web Monitoring）：監控暗網以尋找有關潛在攻擊和敏感信息洩露的跡象。

7. 安全研究報告（Security Research Reports）：專家和安全研究人員撰寫的報告，闡述最新的攻擊趨勢、技術和防禦建議。

綜合這些威脅情報來源，組織可以更全面地了解威脅環境，制定適當的安全策略，並在必要時採取措施以保護其資產和數位資訊。

總之，威脅情報來源的多樣性有助於組織更好地了解不斷演變的威脅環境，並採取適當的措施來保護其資訊資產。組織通常會依賴多種來源，以確保他們獲得最全面和即時的威脅情報，以應對不斷變化的威脅。

除了以上幾種來源外，還可以根據 Implicit knowledge (自身的經驗)進行判斷，這需要根據經驗和專業知識來進行評估。