运营（或技术）情报

• 有关主动攻击、安全事件、攻击活动的知识

• 被防守者使用

• 通常来自机器

战略情报

• 组织机构的整个威胁形势的广泛概述

• 面向决策者即高管的业务内容

• 通过报告或简报介绍

• 必须由专家创造

• 资料来源：安全公司的趋势和研究报告、政府或非政府组织的政策文件、新闻、发表的文章、中小企业

情报生命周期

生命周期

1. 方向：为情报计划设定目标

2. 收集：收集信息以解决最重要的情报要求

3. 处理：将收集到的信息转换为可用格式

4. 分析：将信息转化为情报，为决策提供信息

5. 传播：将完成的情报输出到需要的地方

6. 反馈：了解情报消费者的需求和优先级，相应调整您的流程

向非技术领导报告

• 简洁（一页备忘录或几张幻灯片）

• 避免混淆术语和技术术语

• 用商业术语表达问题

• 推荐落地可行方案

SecOps 情报部分 - 分类

组织机构只能调查他们收到总量安全告警中的 48% ，而在被调查的安全告警中，其中也可能只有 26% 是正确的。

漏洞情报

大多数零日只是某种技术的变种，以略微不同的方式利用旧漏洞。因此，与其关注零日漏洞，不如识别和修补组织真正在使用的软件中的漏洞。

如果漏洞在宣布后的 2 周到 3 个月内没有被利用，那么它就不太可能被利用。因此，修补旧漏洞不是优先事项。

您的目标不应该是修补最多的漏洞，甚至是最多的零日威胁，而是要识别和解决最有可能被利用来攻击您的组织的漏洞。

漏洞数据库的价值受限于它们专注于技术可利用性而不是主动利用，而且它们的更新速度太慢，无法对快速传播的威胁发出警告。

通过交叉引用来自多个来源的信息，您可以专注于存在最大实际风险的漏洞，而不是试图修补所有漏洞。

威胁情报部分 - 了解攻击者

暗网社区

• 低级别地下论坛

• 更高级别的暗网论坛

• 暗网市场

• 许多参与者在低级和高级论坛上发帖，但实际的网络犯罪市场在很大程度上与看到的论坛是脱节的

第三方情报

55% 的组织机构存在来自第三方的入侵违规行为。29% 的人认为他们的合作伙伴会通知他们已经失陷。

需要监控的第三方风险

• 勒索软件

• 数据泄露

• 恶意网络活动

• 泄露的用户凭据

• 暗网活动

安全情报分析框架

网络杀伤链

• 准确描述攻击的 7 个阶段：侦察、武器化、交付、利用、安装、命令和控制、达成目标（数据渗漏）

• 没有考虑现代攻击（例如，忽略网络钓鱼的利用阶段）

钻石模型

• 跟踪攻击组织随着时间的推移演变，而不是单个攻击的进展

• 攻击者的钻石模型不是静止的，它随着攻击者调整 TTP 和更改基础设施和目标而演变

• 跟踪对手（攻击者）、能力、基础设施（由攻击者使用）、受害者。还可以跟踪阶段、结果、方向、方法、资源

• 钻石模型需要大量的专家维护，因为攻击可能会迅速变化

MITRE 框架

• 可信自动情报信息共享 (TAXII)：使组织能够共享情报并使用 API 命令提取情报的传输协议。

• 结构化威胁信息表达 (STIX)：用于呈现情报的标准格式。

• Cyber Observable eXpression (CybOX)：在网络安全事件中跟踪可观察的方法。

MITRE ATT&CK

• 随着时间的推移跟踪对手的行为。

• 描述与特定对手相关的指标和策略。

• 14 种战术类别：侦察、资源开发、初始访问、执行、持久性、特权升级、防御规避、凭证访问、发现、横向移动、收集、命令和控制、渗透、影响

情报数据源和类型

暗网情报

规则

• YARA 规则描述文件中唯一的字符串和字节模式，因此安全产品可以识别、分类和阻止恶意软件

• Sigma 规则是 SIEM 的威胁签名，用于识别与攻击相关的日志事件

• Snort 规则帮助 IDS/IPS 系统识别恶意网络活动（扫描、探测等）

自建情报之旅

情报报告内容

• 可能的威胁参与者

• TTP

• 组织机构中的可能目标

• 威胁是否代表对组织的真正危险

• 现有安全控制可以缓解威胁的可能性

• 建议措施

发展核心安全情报团队

情报团队技能

• 将外部数据与内部遥测相关联

• 逆向工程恶意软件和复现攻击（取证）

• 为安全控制提供威胁态势感知和建议

• 主动寻找内部威胁

• YARA、Sigma等安全数据工程和签名检测

• 就网络威胁对员工和客户进行教育

• 与更广泛的情报社区互动

• 识别和管理信息源