什麼是威脅情報?企業威脅情資完整指南
威脅情報(Threat Intelligence,簡稱 TI)是指企業或組織透過蒐集、彙整、分析各類外部與公開資訊,用以辨識、評估並預警可能威脅其營運、資產、供應鏈或聲譽之風險的一套方法與實務。威脅情報涵蓋網路資安威脅(如惡意程式、APT 攻擊、暗網情資)、地緣政治風險、制裁與法遵風險,以及供應鏈與交易對手風險。良好的威脅情報能將零散的原始資料轉化為可行動的決策依據,讓決策者在風險發生前即掌握徵兆。本文完整說明威脅情報的定義、OSINT 資料來源、制裁名單比對、暗網監控與地緣政治風險評估,並說明 LargitData InfoMiner 如何支援企業建立威脅情報能力。
威脅情報的定義與情報循環
威脅情報並非單一工具,而是一套持續運作的情報循環(Intelligence Cycle):從需求界定、資料蒐集、處理與彙整、分析與研判,到情報產出與回饋。企業依據自身的產業別、供應鏈結構與監管環境,界定需要關注的威脅面向,再透過自動化蒐集與人工研判,將海量的公開資料收斂為少數具行動價值的警訊。與傳統資安工具著重於「已發生」的事件不同,威脅情報強調「事前」的預警與情境掌握。
威脅情報通常區分為三個層次:戰略層(Strategic)關注長期趨勢與地緣政治風險,供高階決策者制定策略;營運層(Operational)關注特定威脅行為者的意圖與手法;戰術層(Tactical)關注具體的入侵指標(IoC)與可立即防禦的技術細節。企業導入威脅情報時,應依照不同角色的需求,設計對應層次的情報產出。
OSINT 開源情報與資料來源
OSINT(Open Source Intelligence,開源情報)是威脅情報最重要的基礎。它指的是從公開、合法可取得的來源蒐集情報,包括新聞媒體、政府公告、法院判決、公司登記資料、社群媒體、論壇、專業資料庫,以及暗網與深網的公開討論。OSINT 的價值在於覆蓋面廣、成本可控,且能與其他情報來源交叉驗證,提升研判的可信度。
常見的 OSINT 資料來源包括:主流新聞與產業媒體、社群平台與網路論壇的公開討論、各國政府與監管機關的公告與制裁清單、公開的公司登記與財報資訊、法院裁判文書與訴訟紀錄、政府採購與標案公開資料,以及資安社群公開分享的威脅指標。企業應建立標準化的來源白名單與蒐集流程,避免雜訊干擾研判品質。
威脅情報平台的關鍵能力
- 多來源自動化蒐集:涵蓋新聞、社群、論壇、政府公告與公開資料庫的即時擷取。
- 制裁名單比對:對照 OFAC、EU、UN 等公開制裁與觀察名單,辨識受制裁實體與關聯對象。
- 暗網與深網監控:追蹤公開的暗網討論、資料外洩情資與地下市場動態。
- 地緣政治風險評估:監測國別風險、政策變動與跨境敏感議題對供應鏈與營運的影響。
- 負面新聞與訴訟篩查:自動偵測交易對象的爭議、訴訟、裁罰與破產紀錄。
- 實體關聯分析:建立人物、企業、事件之間的關聯圖譜,揭露隱藏的風險網絡。
- 情感與異常聲量偵測:以 AI 判讀輿論情緒,於風險擴散前發出預警。
- 警訊分級與通報:依風險等級自動分級並推送給對應的權責人員。
- 持續監控與時間軸追蹤:對重點對象維持長期觀測,記錄風險事件的演變。
- 報告自動生成:將情報彙整為可讀的風險報告,支援決策與稽核留痕。
適用情境
- 金融機構於授信、KYC 與交易對手審查時,比對制裁名單與負面情資。
- 製造業與科技業評估供應商的國別風險、財務穩定性與法遵紀錄。
- 政府機關與關鍵基礎設施單位進行地緣政治與資安威脅的持續監控。
- 企業併購與投資前的盡職調查,掌握標的公司的潛在風險。
- 法遵與稽核部門建立可驗證、可留痕的風險審查流程。
制裁名單比對與暗網監控
制裁名單比對是威脅情報中最具法遵價值的能力之一。美國財政部海外資產控制辦公室(OFAC)維護的 SDN 名單、歐盟(EU)與聯合國(UN)的制裁清單,皆為公開可查的權威來源。企業在與交易對象往來前,應比對這些名單以避免觸犯制裁法規、承擔鉅額裁罰與聲譽損失。自動化的比對機制能處理大量交易對象,並辨識名稱變體、關聯企業與實質受益人等隱藏關聯。
暗網監控則聚焦於一般搜尋引擎無法索引的網路空間。企業機敏資料、帳號憑證、客戶個資一旦外洩,往往最先出現在暗網的地下市場與討論區。透過持續監控公開的暗網情資,企業能及早發現資料外洩徵兆、遭鎖定的攻擊意圖,以及品牌被冒用的風險,爭取應變的黃金時間。
地緣政治風險與供應鏈情資
地緣政治風險對台灣企業尤其重要。兩岸關係、國際貿易政策、科技管制與出口管制的變動,都可能在短時間內衝擊供應鏈與市場。威脅情報透過持續監測各國政策公告、國際新聞與產業動態,協助企業預先評估國別風險、辨識受影響的供應節點,並規劃替代方案。將地緣政治情資與供應鏈資料結合,能讓風險管理從被動應變轉為主動佈局。
部署方式與資料治理
威脅情報平台可依企業的安全需求選擇雲端或地端部署。雲端部署導入快速、維運成本低,適合大多數企業;地端部署則將所有資料處理與模型推論保留在企業內網,適合對資料主權、機密等級有高度要求的政府、軍工與金融客戶。LargitData 提供地端部署選項(RAGi On-Premise 與 QubicX 地端 AI 平台),協助高敏感客戶滿足資料不出境的要求。
在資料治理與合規方面,威脅情報應僅蒐集公開、合法可取得的資訊,並落實存取權限控管、稽核留痕與資料保存政策,符合個資法與 GDPR 等法規要求。所有情報產出都應可追溯來源,確保研判結果經得起檢驗。