文章总结： 文档详细介绍了ENISA网络安全威胁态势方法论，涵盖范围原则、方向确定、数据收集、处理分析、传播反馈等完整流程。方法论遵循准确性、时效性和可操作性原则，服务战略、战术、运营三层受众，采用多种CTI框架和结构化分析技术。未来将推进自动化处理，提升态势感知能力。 综合评分： 85 文章分类： 威胁情报,安全运营,安全建设,技术标准

网络安全威胁态势评估方法论

原创

计算机与网络安全 计算机与网络安全

计算机与网络安全

2026年3月6日 07:57 山东

本文详细阐述了ENISA网络安全威胁态势（CTL）方法论，包括其范围、驱动原则、完整的生产流程（从方向确定、数据收集、处理、分析与生产到传播和反馈）以及未来工作方向，旨在为欧盟层面的网络威胁分析提供透明、系统的方法。

CTL范围与驱动原则

适用范围：该方法论适用于ENISA的年度威胁态势报告（ETL）、行业威胁态势报告（STL）、主题威胁态势报告（TTL）以及威胁分析服务（TAS）编写的所有态势感知报告。

驱动原则：准确性方面，依赖信息收集、处理、关联和分析的质量，通过评估来源的准确性、相关性和全面性来保障，尤其在行业威胁态势报告中需细化信息输入策略；时效性方面，报告的周期性由其范围、重要性和利益相关者需求决定，可按事件驱动、月度、季度、半年或年度发布；可操作性方面，CTL需提升利益相关者对网络威胁的认知，支持决策制定，并从战略和运营层面提供网络安全建议，针对不同威胁类别、行业或主题提出特定的缓解措施。

CTL方法论：方向

确立CTL目的：所有CTL旨在共享信息以增强威胁分析，具体目的包括提供准确的欧盟级网络威胁概述、提高意识、助力风险管理、识别培训和能力建设机会、支持战略决策和政策制定。

定义受众：受众分为战略层、战术层和运营层。战略层受众为安全 strategist 等高级决策者，需提供摘要和关键研究评估参考；战术层受众包括架构师、安全控制所有者等，关注攻击者的战术、技术和程序（TTPs）；运营层受众为事件响应者和安全经理，关注即将发生攻击的前兆和指示信号。文档结构需根据受众需求调整，如为检测工程师提供TTPs的图形化附件。

定义情报需求：情报需求是需收集信息或生成情报的主题。ENISA的主要生产需求是欧盟成员国面临的网络威胁，情报需求包括针对NIS2 sectors的网络攻击，涉及国家关联的入侵集、网络犯罪集团和黑客活动家等。对于每个收集的事件，需回答是否针对欧盟成员国、是否跨境、受影响行业、资产、影响、攻击TTPs、入侵集动机、特定背景及缓解措施等问题，并采用欧盟相关性评分（高、中、低）评估事件与欧盟威胁态势的相关性。

CTL方法论：收集

制定收集计划：明确数据收集需求，分解为满足情报需求所需的信息及来源，包括外部来源（开源情报、CTI提供商、知识共享组）和内部来源（欧盟成员国、私人合作伙伴共享的信息）。数据收集需求存储在情报收集计划（ICP）中，列出所有情报需求并映射到来源类型，ENISA自2025年1月起将CTL集成到TAS流程和目录，重点关注数据收集阶段以确保特定时间点欧盟网络威胁图景的准确性。

验证来源：来源包括内部来源（ENISA内部人员、流程和技术资产）、机构来源（CSIRTs网络、EUROPOL/EC3等欧盟机构）和外部来源（技术指标库、社交媒体等，分为开源和闭源）。采用Admiralty系统的两字符符号确立来源置信度，包括来源可靠性（A-F等级）和信息可信度（1-6等级），在收集时结合报告目的和方向对信息进行情境化处理。

输入数据收集：TAS分析师基于来源的置信度和欧盟相关性评分，按照前期设定的需求进行日常数据收集和初步分类，然后将筛选后的数据进行处理。

CTL方法论：处理

处理准备：根据定义的优先情报需求规划和准备所有收集信息的数据处理，确保处理阶段与分析阶段紧密关联，分析阶段向处理阶段提供反馈。

语言处理：CTL使用欧洲语言和英语来源，最终以英语发布。需解决多语言来源带来的挑战，如避免排除非英语来源，将多语言主要来源处理为单一连贯语言以满足分析需求。

网络威胁 taxonomy：ENISA威胁 taxonomy 于2016年首次建立，2022年更新，是CTL的指导原则和ENISA内部威胁引用标准，目前正在修订以开发更成熟、可操作的框架，其定义对数据组织和历史数据集开发至关重要。

CTI框架：采用多种CTI框架，包括OASIS STIX™ 2.1（用于以一致的机器可读方式共享网络威胁情报）、MITRE ATT&CK®（描述攻击者战术和技术的知识库）、Cyber Kill Chain®（识别和预防网络入侵活动的模型）以及2025年启动的欧盟漏洞数据库（EUVD，用于编目影响欧盟数字基础设施的漏洞）。需注意避免依赖单一框架导致范围狭窄，并根据CTL的目的和目标重新评估所选框架的适用性。

整合处理内容：将所有可用的处理数据整合为更高效可用的形式，包括纯数据的格式转换、语言翻译、评估数据的相关性和可靠性等，确保数据集的准确性。

关联和丰富处理内容：关联是连接数据点以识别数据集间的关系和模式，提高分析准确性；丰富是通过添加地缘政治背景、事件驱动因素等相关情境信息，将孤立的指标或事件转化为有意义的情报，提升相关性和可用性。

CTL方法论：分析与生产

分析准备：可采用手动、自动化或混合分析方法。ENISA分析师运用结构化分析技术（SATs）以结构化方式拓展思维、消除偏见，提高情报分析质量，同时结合无辅助专家判断等多种分析方法，目前ETL基于结构化分析技术和传统的无辅助专家判断。

执行分析：采用手动、自动化或混合模式进行分析，应用SAT时分析师需思考思维方式、所需技术和输出可视化。分析过程中需应对数据信心不足、多作者参与、内容和统计可靠性等挑战，具体考虑检查评估、考虑替代方案、关注不一致数据、聚焦关键驱动因素和上下文等方面。

验证CTL：CTL报告在发布和传播前需通过审查和反馈进行验证，以确保内容的准确性和相关性。

验证传播媒介：传播媒介在初始方向步骤中定义，此时需验证其是否适用，包括文本格式（如参考模板，2025年CTL模板将有变化）和机器可读格式（用于提高态势感知和CTI的交付速度，实现自动化处理和分析），目前CTL以PDF文本格式发布并辅以信息图表。

交付物生产：分析完成后记录调查结果并创建最终交付物，需综合每个威胁的文本并整合成文档，经过内部、专家组、管理层审批和校对等审查流程，进行最终编辑后发布。

CTL方法论：传播

准备传播：根据CTL的需求、受众和目标，选择与目标受众的互动模型，包括推送、拉取或交互式模型，不同模型具有不同价值，需确保与CTL的各项设定保持一致。

传播CTL交付物：基于前期讨论的参数实际传播CTL报告，除在ENISA网站发布外，还可利用X、LinkedIn等社交渠道与CTI社区互动，传播后可从不同受众获取反馈，这些反馈可用于CTL的方向或规划阶段。

CTL方法论：反馈

接收反馈：通过提供的电子邮件地址、调查、社交媒体或面对面等多种方式持续接收关于CTL内容（方向、数据收集、分析方法）或格式的反馈，尽可能收集多方面反馈，即使是小建议也可能带来长期改进。

处理反馈：处理反馈是关键步骤，需决定对收到的评论采取的行动。定期或临时收到的反馈需经CTL团队处理后才具可操作性，这需要时间，且需更深入了解反馈提供者（包括受众和利益相关者），以便有意识地决定处理哪些反馈，处理后向相关方提出建议，由其决定批准或拒绝改进措施。

未来工作

迈向自动化信息处理：2025年的方法论仍涉及大量手动工作，未来虽人类交互和分析仍是关键部分，但大部分工作可自动化。例如，利用专门解决方案高效处理、交叉验证和分析各种电子存储信息（ESI），如开源情报、漏洞数据库及欧盟成员国和私人合作伙伴提供的信息，以发现数据中的模式、趋势和关系，帮助利益相关者主动或被动应对未来网络安全挑战。中期内，CTL旨在增加机器可读格式，以便ENISA的利益相关者更方便地获取态势感知信息。

本文完整文档已上传至星球

点这里自助下载

网络安全威胁态势评估方法论.pdf

纵深防御：现代网络安全策略和不断演变的威胁.pdf

网络安全服务责任及损失评估标准.pdf

全球网络安全政策法律发展年度报告（2025）.pdf

2026网络供应链攻击的影响及缓解策略.pdf

安全运营中心：网络安全路线图.pdf

网络安全群

–

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：计算机与网络安全 计算机与网络安全 计算机与网络安全《网络安全威胁态势评估方法论》