上一篇我們說到，偵測未知威脅是一條永無止盡的活動，必須從那5%的正常活動找到駭客的足跡
那是否能有專家協助我們及早治療，長命百歲？讓我們站在巨人的肩膀上，對威脅有更快速的反應？
有的，這就是威脅情資

威脅情資指的是「與網路攻擊相關的資訊，經由專業團隊收集、轉換、分析、解釋等處理過程，提供資安決策過程所需要的基礎。」
依據其內涵，可以分為三個層次：

1. 戰略型威脅情資(Strategic Threat Intelligence): 無技術細節，可由資訊人員或CIO使用；用於辨別誰會攻擊、為何攻擊
2. 實戰型威脅情資(Operational Threat Intelligence): 需要技術背景，由SOC主管、分析研究員等使用；用於理解攻擊者的TTPs (Tactics、Techniques、Procedures)
3. 戰術型威脅情資(Tactical Threat Intelligence): 需要技術背景，通常是SOC人員使用；以威脅指標(indicator of compromise, IoC)監看特定攻擊事件

威脅情資的來源如下：

1. 多媒體：新聞、電視、報章雜誌
2. 社群網路：Facebook、X、Instagram
3. 政府公開資料：政府資料開放平台
4. 搜尋引擎：Google、百度、Yandex
5. 電子郵件、網域資訊
6. 暗網
7. 不光明的手段：如稜鏡計畫、國家間諜。有一個笑話是：美國透過監控程式通知德國總理他的手機有俄羅斯間諜程式

威脅情資如何成為資安管理上的助力？

1. 發佈IoC還有TTP規則更新到使用者端點
2. 給予事件調查回應，事件調查後找到的IoC又回傳給威脅情資
3. 產出威脅趨勢等報告
4. 發佈漏洞管理報告
   

資安團隊得到這些情資後，可進行以下步驟

1. 根據威脅情資提供的資料，在病毒碼發佈前，資安團隊即可先建立IoC指標
2. 以及更新內部網路的YARA Rule，建立防火牆阻擋規則
3. 閱讀漏洞報告後，對相關產品進行軟、韌體更新
4. 藉由威脅情資，比對公司內部是否遭受同樣的攻擊，回饋給威脅情資廠商

活用威脅情資於現有的防護工具上，就可以在最短的時間內降低威脅的影響