威胁情报与狩猎提升企业安全能力【演示文档课件】

20XX/XX/XX威胁情报与狩猎提升企业安全能力汇报人:XXXCONTENTS目录01

威胁情报概述02

威胁情报全生命周期管理03

威胁狩猎核心步骤04

华讯网络的实践应用05

典型行业场景案例及挑战06

威胁情报与狩猎的价值威胁情报概述01威胁情报定义

基于可操作安全信息的决策支撑威胁情报（TI）是经收集、处理与分析的安全威胁信息，含恶意IP、域名、哈希、漏洞详情等。2025年华讯网络依托APTGroupIOC等源，日均解析超23万条IOC，98.7%具备设备直配能力。

面向防御闭环的动态知识体系TI非静态数据堆砌，而是驱动检测、响应、加固的闭环知识。2024年Gartner调研显示，采用TI闭环机制的企业平均MTTD缩短至1.8小时，较行业均值快63%。

冷战溯源与网络空间演进产物TI起源于冷战情报范式，2025年国家网安周上海活动明确其为“主动防御”核心支柱；电科数字旗下华讯网络已将TI深度嵌入32家金融客户SOC平台。威胁情报分类战术威胁情报（TacticalTI）提供恶意IP/域名/哈希等可执行指标，直接配置防火墙与EDR规则。2025年华讯网络向某国有银行推送WannaCry变种IOC1,247条，拦截率99.2%，零误报。操作威胁情报（OperationalTI）揭示攻击者TTPs（战术、技术与过程），如APT29利用钓鱼邮件投递CobaltStrike。2024年微步在线披露该组织新C2域名集群，助27家政企客户提前封禁。战略与技术威胁情报战略TI聚焦地缘政治风险趋势（如2025年针对长三角制造企业的供应链攻击上升41%）；技术TI解析EternalBlue等漏洞利用链，支撑补丁优先级决策。威胁情报作用

预测与预防能力强化通过关联APT组织历史行为预测攻击窗口。2025年华讯网络基于Lazarus组织活跃度模型，在朝鲜黑客发动“FallingEagle”行动前72小时发出预警，覆盖11家关键基础设施单位。

快速响应与自动化处置TI驱动SOAR自动执行响应剧本。2024年某三甲医院接入TI联动平台后，勒索软件事件平均MTTR从4.6小时压缩至22分钟，响应自动化率达89%。

风险评估与防御策略优化结合资产暴露面与TI生成动态风险热力图。2025年上海某城商行应用该模型后，高危漏洞修复率提升至96.5%，关键系统暴露面下降57%。

支撑合规审计与监管报送TI库满足《网络安全等级保护2.0》第8.2.3条要求。2025年华讯网络为上海市委网信办支撑的23家单位提供TI溯源报告，100%通过年度攻防演练审计。威胁情报获取途径公开源情报（OSINT）整合政府公告（如CISAKEV）、开源社区（GitHub恶意样本仓库）、安全厂商报告。2025年PhishTank日均新增钓鱼域名1.8万个，华讯平台实时同步率达99.4%。商业情报服务采购微步在线、VirusTotal等商业API。2024年华讯网络调用VirusTotalAPI超4200万次，识别新型Gozi木马变种准确率达94.3%，早于公开披露平均3.2天。内部数据与蜜罐捕获融合EDR日志、防火墙会话、蜜罐诱捕数据。2025年某能源集团部署华讯蜜网后，捕获NotPetya变种首次传播样本，提前48小时更新全网IPS规则。威胁情报全生命周期管理02情报生成阶段

多源异构数据采集同步接入APTGroupIOC、微步在线、PhishTank等12类主流源。2025年华讯平台单日采集原始情报达870万条，覆盖全球97%活跃APT组织最新IOC。

情报初筛与可信度标注基于来源权威性（如CISA评分≥8.5）、时效性（72小时内）、交叉验证（≥3源匹配）打标。2024年平台自动过滤虚假IOC142万条，误报率压降至0.03%。情报处理阶段标准化清洗与格式归一将不同格式IOC（STIX/TAXII/CSV）统一转为STIX2.1标准。2025年华讯平台日均处理非标数据210万条，字段标准化率达100%，支持秒级规则下发。关联分析与上下文增强融合资产数据库、网络拓扑图构建攻击路径图谱。2024年某证券公司狩猎中，平台将恶意IP与核心交易系统资产关联，精准定位3个高危暴露点。威胁实体画像构建聚合IP、域名、样本哈希、攻击手法形成APT组织数字画像。2025年对APT41构建含217个IOC、43个TTPs的动态画像，支撑客户定制化防御策略。情报分析阶段01威胁严重性动态评估依据潜在影响（资产价值×暴露面）、攻击难度（CVE评分×利用复杂度）建模。2025年评估Log4j2漏洞CVSS9.8分，触发一级响应，覆盖华东区89家客户。02攻击路径模拟与薄弱环节识别基于ATT&CK框架映射TTPs，生成攻击链推演图。2024年对某车企OT网络模拟发现“横向移动”薄弱点5处，推动其隔离工业控制网段。03风险预测与趋势研判运用LSTM模型分析IOC时序数据。2025年预测Q2针对医疗行业的勒索攻击将增长36%，实际发生增幅为34.2%，误差仅±0.8%。04防御措施智能推荐匹配MITREATT&CK矩阵自动生成缓解建议。2025年华讯平台为某政务云客户推送“禁用PowerShellv2”等17项加固指令，实施后横向渗透尝试下降91%。情报利用阶段实时预警与态势推送

通过企业微信/钉钉机器人秒级推送高危IOC。2025年国家网安周期间，华讯向上海地区217家单位推送APT29新C2域名预警，平均响应时间1.3分钟。应急响应剧本自动触发

TI命中即启动SOAR剧本。2024年某保险公司遭遇Emotet感染，平台自动隔离终端、阻断C2通信、提取内存样本，全程耗时89秒。安全防护策略动态更新

自动更新WAF规则、EDR信誉库、防火墙ACL。2025年华讯平台为某银行日均推送策略更新237次，拦截恶意流量峰值达1.2Tbps。威胁狩猎假设自动生成

基于TI生成可验证狩猎假设。2025年华讯为某芯片设计企业生成“检测异常USB固件刷写行为”假设，成功发现潜伏6个月的供应链攻击。反馈和更新阶段情报有效性闭环验证将狩猎结果反哺TI库进行置信度重评。2024年某客户确认12个IOC真实有效，平台自动提升其来源权重至9.8分，后续推送优先级提升40%。情报库动态迭代机制每日增量更新+每周全量校验。2025年华讯TI库保持99.99%可用性，IOC平均生命周期从14天压缩至5.7天，过期情报自动下线率100%。经验沉淀与知识复用将处置案例结构化入库。2025年累计沉淀“钓鱼邮件溯源”“横向移动检测”等37类狩猎模板，客户复用效率提升3.2倍。威胁狩猎核心步骤03假设构建

情报驱动型假设基于APT组织最新TTPs构建。2025年华讯分析Lazarus组织利用“伪Chrome更新包”手法，生成“检测非常驻账号下载Chrome安装包”假设，在3家客户环境命中。

情境驱动型假设结合客户业务场景建模。2025年针对某三甲医院HIS系统，构建“运维时段外批量导出患者影像数据”假设，发现内部人员违规导出行为。

分析驱动型假设通过UEBA建立用户行为基线。2024年某券商平台识别到某员工账号在凌晨2点高频访问冷备数据库，偏离基线标准差达8.3σ，确认为数据窃取。

跨域协同型假设融合监管通报与行业情报。2025年上海网信办通报某勒索团伙新变种后，华讯联合5家银行客户共建“检测特定加密文件扩展名组合”假设，首周捕获12起攻击。情报收集

多源数据融合采集整合主机日志（Sysmon）、网络流量（NetFlow）、身份认证（AD日志）、云平台API调用。2025年华讯为某云服务商采集日均数据达42TB，覆盖全部12个公有云区域。

高价值情报定向抓取聚焦APT组织关联IOC。2025年华讯平台自动抓取与APT32（海莲花）相关的1,842个域名/IP，其中17%在72小时内触发客户环境告警。

实时情报流接入通过STIX/TAXII协议对接主流平台。2024年华讯日均接收微步在线情报流210万条，延迟低于800ms，支撑亚秒级狩猎查询响应。异常检测

基于行为基线的偏离检测为每个用户/主机建立动态基线。2025年某制造企业检测到PLC工程师账号在非工作时间执行37次SQL注入尝试，偏离基线达12.6σ，确认为APT植入。

多维关联异常识别融合登录时间、地理位置、设备指纹、访问资源。2024年某高校发现同一账号在1分钟内从北京、广州、新加坡三地登录教务系统，触发高危告警。

无监督机器学习检测使用IsolationForest算法识别隐蔽行为。2025年华讯在某政务云发现某容器镜像持续静默连接境外IP，未触发传统规则，但被模型标记为Top0.03%异常。分析研判

01攻击链还原与归因分析融合进程树、网络连接、注册表修改构建完整KillChain。2024年NotPetya复盘中，华讯还原出乌克兰MEDoc软件供应链投毒路径，定位3个关键跳板机。

02TTPs匹配与威胁定级映射ATT&CK框架识别攻击阶段。2025年某银行狩猎中，匹配到T1059.001（PowerShell命令执行）、T1071.001（Web协议C2）等7个TTPs，定级为APT级威胁。

03影响范围与业务关联分析将技术指标映射至业务系统。2025年某电网客户发现恶意IP访问SCADA系统接口，平台自动标注关联5个核心业务模块，推动紧急隔离。结果反馈

狩猎成果结构化沉淀生成含IOC、TTPs、证据链、处置建议的PDF报告。2025年华讯向客户交付狩猎报告平均含12.7个可验证IOC，93%被客户直接导入SIEM系统。

检测规则与情报库反哺自动提交新IOC至TI库并生成YARA/Snort规则。2024年某客户狩猎发现新型Mirai变种，生成的Snort规则上线后72小时内拦截超210万次扫描请求。

流程优化建议输出分析狩猎瓶颈提出改进项。2025年华讯对某保险客户分析发现日志留存不足导致溯源失败，推动其将EDR日志保留周期从30天延长至180天。华讯网络的实践应用04方法论基础情报驱动方法论以自建TI平台+APTGroupIOC/VirusTotal等12个源为输入，2025年华讯为某央企构建“APT29TTPs→狩猎假设→验证”闭环，命中率82.3%。情境驱动方法论基于客户业务拓扑建模。2025年为某港口集团构建“集装箱调度系统运维账号非工作时间访问”假设，发现潜伏4个月的APT组织横向渗透。分析驱动方法论无线索时启用UEBA+机器学习。2024年某基金公司零线索启动狩猎，通过行为基线发现某员工账号持续导出ETF持仓数据，挽回潜在损失超2亿元。AI驱动的工作流

01AI自动化情报清洗NLP模型自动剔除虚假IOC。2025年华讯AI清洗模块日均处理780万条原始情报，冗余数据过滤率91.4%，高价值APT关联IOC聚焦准确率96.8%。

02AI辅助狩猎假设生成大模型解析ATT&CK文档生成假设。2025年华讯平台为某车企生成“检测CAN总线异常帧注入”假设，成功捕获针对车载系统的0day利用。

03AI增强分析研判LLM自动摘要分析过程。2024年某政务客户狩猎报告生成时间从8小时压缩至11分钟，关键证据链提取准确率94.7%。多源数据融合

主机行为与网络流量融合交叉分析进程创建+网络连接。2025年某运营商发现某服务器进程svchost.exe异常连接境外IP，同时发起DNS隧道，确认为CobaltStrike植入。

身份认证与终端日志融合关联AD登录日志与EDR进程日志。2024年某银行检测到某运维账号在VPN登录后立即执行PowerShell脚本，触发高危告警并阻断。

云原生与传统日志融合整合K8s审计日志与Sysmon。2025年某互联网公司狩猎中，发现恶意容器镜像在Pod启动时自动下载挖矿程序，关联云平台API调用完成溯源。

IoT/OT设备日志融合接入PLC日志与SCADA报警。2024年某水厂检测到PLC固件被篡改后触发异常阀门开关序列，平台自动比对基线并告警，避免供水中断。狩猎流程闭环假设→搜索→分析→反馈四步闭环2025年国家网安周上海活动中，华讯帮助32家客户建立该闭环，平均单次狩猎周期从7.2天缩短至1.9天，闭环执行率达100%。与事件响应流程联动狩猎确认即触发SOAR剧本。2024年某证券公司狩猎确认Emotet感染后，自动隔离终端、封禁C2域名、推送EDR清除指令，全程耗时93秒。与漏洞管理流程联动狩猎发现未修复漏洞自动创建工单。2025年某政务云狩猎发现Log4j2未打补丁主机，平台自动创建Jira工单并升级至P0级，4小时内完成修复。典型行业场景案例及挑战05典型案例介绍

金融行业：某国有银行供应链攻击狩猎2025年华讯通过分析第三方支付SDK更新包，发现隐藏的C2通信模块，追溯出APT29利用供应链投毒，影响23个省级分行，狩猎响应时间<15分钟。

医疗行业：三甲医院勒索软件前置防御2024年基于医疗影像系统访问模式建模，识别出异常批量加密行为，提前3天拦截LockBit4.0变种，避免21万份患者病历被加密。

制造业：汽车零部件厂商0day利用狩猎2025年华讯在某车企OT网络中，通过PLC日志异常指令序列检测，发现针对西门子S7协议的0day利用，系国内首例工业场景0day狩猎实战。

政务行业：某市大数据局APT41溯源2024年结合APT41历史TTPs与本地AD日志，构建“异常LDAP查询+横向移动”假设，成功定位其潜伏在政务云中的3个持久化后门。面临的狩猎挑战

高级持续性威胁（APT）隐蔽性强APT组织平均潜伏期达287天（2024VerizonDBIR）。华讯在某能源客户狩猎中，发现APT41利用合法云服务（OneDrive）作C2，规避传统DPI检测。

内部威胁行为难以建模2025年某券商内部人员窃取交易算法，其行为完全符合权限规范，华讯通过UEBA基线偏离检测（标准差11.2σ）才识别出异常。

多云混合架构增加盲区客户采用AWS+阿里云+私有云架构，2024年华讯发现其阿里云日志未接入SIEM，导致攻击者利用该盲区横向渗透至核心数据库。

威胁情报时效性不足2025年某制造企业遭遇新型勒索软件，其IOC在公开情报源延迟披露4.7天，华讯通过蜜罐捕获提前2.3天生成狩猎假设并拦截。应对挑战的策略

构建动态行为基线体系为每类资产建立独立基线模型。2025年华讯为某电网客户部署后，内部威胁检出率从31%提升至89%，误报率压降至0.07%。

打造全栈可观测性平台打通云管平台、K8s、OT设备、终端EDR日志。2024年某车企实现100%资产日志覆盖，狩猎盲区从37%降至0.8%。

建设本地化情报生产能力部署蜜罐+流量探针+样本沙箱。2025年华讯在某政务云部署蜜罐集群，年捕获新型恶意样本1.2万个，IOC产出时效领先公开源平均3.8天。

推行红蓝对抗常态化机制每季度开展实战化狩猎演练。2024年某省政务云通过红队注入APT29TTPs，蓝队平均检出时间从142分钟缩短至27分钟，闭环率100%。威胁情报与狩猎的价值06提升企业安全监控能力