網路威脅情資

網路威脅情資（Cyber Threat Intelligence, CTI）是將原始的網路威脅數據，經過系統化的蒐集、處理、分析與研判後，產出的具備脈絡、可操作性的證據導向知識。其核心目的在於回答「誰在攻擊、為何攻擊、如何攻擊、何時何地攻擊」等關鍵問題。根據NIST SP 800-150的定義，情資不僅是警報或指標，更包含對手意圖、能力與基礎設施的深入洞察。在風險管理體系中，CTI扮演著關鍵的輸入角色，為ISO 31000風險評估流程提供依據，並直接支持ISO/IEC 27002:2022中控制項5.7「威脅情資」的實踐。值得注意的是，情資處理可能涉及IP位址等個人資料，因此必須遵循《個人資料保護法》及GDPR的規範，特別是在合法性基礎（如GDPR第6條）與資料最小化原則上，需有明確的治理框架。

在企業風險管理中，CTI的應用旨在將資安防禦從被動應變轉為主動預防。具體導入步驟如下：1. **需求定義與規劃**：依據企業關鍵資產與營運流程，定義優先情資需求（Priority Intelligence Requirements），確定監控目標。2. **情資蒐集與處理**：整合開源情資（OSINT）、商業情資訂閱、產業ISAC分享的數據，並利用威脅情資平台（TIP）進行正規化與關聯分析。3. **分析與產出**：由分析師將數據轉化為戰略級（供高層決策）、戰術級（攻擊者TTPs）與操作級（IoCs）報告。4. **傳遞與整合**：將情資產出分送至資安、IT、法務等部門，並將操作級IoCs自動匯入SIEM、防火牆等防禦設備。例如，台灣某金融機構透過此流程，分析出針對性網釣攻擊的TTPs，並主動封鎖相關惡意網域，在三個月內將同類型攻擊成功率降低了40%，顯著提升了合規審計的通過率。

台灣企業導入CTI主要面臨三大挑戰：1. **法規遵循的模糊性**：處理IP位址、電子郵件等情資時，可能觸及《個資法》與GDPR對個人資料的定義，企業對於蒐集的合法性基礎與跨境傳輸規範感到困惑。2. **資源與專業人才不足**：中小企業普遍缺乏預算訂閱昂貴的商業情資，且難以聘用或培養具備駭客思維的專業情資分析師。3. **情資在地化與關聯性低**：許多國際情資源對台灣特有的地緣政治威脅、產業供應鏈攻擊的著墨較少，導致情資的實用性打折。對策：針對法規挑戰，應建立由法務與資安共同參與的資料治理流程，預先界定處理安全數據的合法基礎。為克服資源限制，可優先採用託管式偵測與回應（MDR）服務，或利用MISP等開源平台。為提升情資品質，應積極加入台灣電腦網路危機處理暨協調中心（TWCERT/CC）或產業ISAC，獲取在地化且高相關性的威脅情報。

積穗科研股份有限公司專注台灣企業Cyber Threat Intelligence相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact