2024年7月4日13:08:16评论2 views字数 4729阅读15分45秒阅读模式

了解如何构建全面的威胁情报计划，以识别、分析和应对任何环境中的网络威胁。

在当今快速发展的数字环境中，网络威胁情报（CTI）比以往任何时候都更加重要。为了保护宝贵资产免受不断升级的网络威胁，组织必须采取主动的安全措施。强大的 CTI 计划不仅可以识别潜在威胁，还有助于制定应对这些威胁的策略。本文将指导您完成构建可针对任何环境定制的通用威胁情报方法的过程，确保您的组织领先于潜在的网络威胁。

不要做一只坐着的鸭子！本指南介绍如何通过威胁建模主动识别和应对网络威胁。

了解 Threat Intel Analyst 的威胁建模

保护您的系统！本指南探讨了网络安全中的威胁建模 — 识别漏洞、确定优先级......

osintteam.blog

每个有效威胁英特尔计划的基石

有效的威胁情报计划建立在准则、程序、标准和政策的坚实基础之上。这些要素不仅仅是形式上的，而是形式上的。它们是 CTI 运营的支柱。它们提供了做出明智决策、有效响应威胁所需的结构和一致性，并确保组织中的每个人都与相同的目标保持一致。

熟悉您现有的政策和程序是第一步。了解已经到位的内容，并确定可能需要解决的任何差距。如果您的组织缺少这些基本组件，则必须创建它们。如果没有一个坚实的框架，您的 CTI 工作将脱节且效率较低。

CTI 指南的结构化方法

若要构建强大的威胁情报框架，请遵循以下结构化准则：

程序：制定详细的分步说明，以实现您的 CTI 目标。这些程序充当完成任务的手册，确保一致性和问责制。
标准：建立支持 CTI 目标的强制性操作和规则。标准定义了必须执行的操作，并为组织内的预期行为设定了基准。
政策：提供您的决定和行动背后的理由。政策解释了为什么某些措施是必要的，使您的团队与组织的战略目标保持一致。

了解有效CTI的智能要求

一个成功的CTI计划还取决于对情报需求的识别和分类：

GIR（一般情报要求）：这些需求非常广泛，涵盖了总体情报需求，提供了威胁态势的广角视图。
PIR（优先情报要求）：专注于需要立即关注的最关键领域，帮助确定资源和行动的优先级。
FCR（集中收集要求）：针对特定领域进行深入数据收集，从而集中精力应对特定威胁。
IER（信息提取要求）：详细说明所需的确切数据和信息，确保情报收集工作的准确性。
DIR（数据智能要求）：强调数据在推动情报活动方面的重要性，指导如何有效地管理和利用数据。
SIR（特定情报要求）：这些是最精细和最精确的，概述了解决特定威胁所需的确切需求和行动。

构建适用于任何环境的多功能威胁情报计划 — 图 1.一个示例 IER，详细介绍了宏嵌入的 Microsoft Word 文档的集合，突出显示了其优先级、描述、定义的 GIR、范围、数据依赖关系和数据类型。

通过明确定义您的目标并了解各种类型的情报要求，您可以制定一个全面的 CTI 计划，不仅可以解决眼前的威胁，还可以与您的长期战略愿景保持一致。

绘制网络地形图：评估资产和威胁

接下来，定义组织的成功是什么样子至关重要。首先，确定您最有价值的资产，并确定您需要防范的特定威胁。这种清晰度将充当指南针，为您的 CTI 计划设定清晰的道路，并指导前进的每一步。

构建您的CTI蓝图：框架和战略计划

规划您的CTI课程：成功的战略规划

一旦你确定了你的目标和范围，制定一个全面的战略计划就至关重要。该计划应绘制整个情报过程，从最初的数据收集到交付精细的情报产品。明确定义角色、职责和参与规则（RoE）可确保参与 CTI 计划的每个人都了解他们的特定角色以及他们如何为整体使命做出贡献。战略计划应包括时间表、资源分配和沟通计划，以使所有利益相关者了解情况并保持一致。

CTI 模型：用于强大威胁情报的成熟框架

使用 MITRE ATT&CK 和 Lockheed Martin Cyber Kill Chain 等已建立的模型来构建可靠的威胁情报框架。MITRE ATT&CK提供了真实世界对抗性战术和技术的详细矩阵，从而能够更好地预测和响应威胁。网络杀伤链概述了网络攻击的各个阶段，有助于检测和破坏每个阶段的威胁。您还可以开发针对组织独特需求量身定制的自定义模型，为系统地应对威胁提供战略基础。集成反馈循环，以确保持续改进和适应不断变化的威胁环境。

为您的CTI引擎加油：多样化的来源和强大的工具

您的CTI武器库：内部，外部和开源情报

数据收集是任何CTI计划的支柱。源可以是内部的，例如日志、警报和安全事件，也可以是外部的，包括开源情报（OSINT）、人类情报（HUMINT）、影像情报（IMINT）、社交媒体情报（SOCMINT）、测量和签名智能（MASINT）、信号情报（SIGINT）、入侵指标（IoC）和第三方数据。

更智能的威胁情报数据收集的 10 大工具

谷歌黑客数据库：用于识别通过搜索引擎暴露的敏感信息的宝贵资源。
Netcraft：网站监控和网络钓鱼检测的理想选择。
HTTrack：允许您创建网站的离线副本以进行深入分析。
eMailTrackerPro：对于电子邮件标题分析和 IP 跟踪至关重要。
Whois DomainTools：检索关键的域名所有权和注册详细信息。
反向 IP 域工具：标识托管在特定 IP 地址上的域。
社会工程师工具包：用于进行社会工程攻击的强大工具。
HoneyDB：从蜜罐中收集威胁情报，提供对潜在威胁的洞察。
GreyNoise：过滤掉良性的互联网噪音，让您专注于真正的威胁。

图2.此图显示了 HTTrack 网站复印机界面，特别是项目设置屏幕，用户可以在其中输入项目名称、类别和网站镜像的基本路径。

转换原始数据：可操作英特尔的技术和工具

组织混乱：构建数据以进行有效的 CTI 分析

收集数据后，下一步就是对其进行规范化和结构化。此过程涉及将原始数据组织成可用的格式，这对于有效分析至关重要。

解锁CTI Insights：解密、过滤和关联

应用解密、语言翻译、解析、数据缩减、过滤和关联等技术将原始数据转换为有意义的信息。

处理和分析CTI数据的8种基本工具

VirusTotal：分析文件和 URL 中的恶意软件，帮助您识别和缓解威胁。
混合分析：通过沙盒环境提供深入的恶意软件分析。
Splunk：提供全面的日志管理、实时监控和高级分析。
DocGuard：通过检测潜在威胁来确保文档安全。
Python 脚本：启用根据您的特定需求量身定制的自定义安全分析任务。
STIX 到 OpenIOC：在不同格式之间转换威胁情报数据，确保兼容性和可用性。

图3.此图显示了混合分析登录页面，其中包含用于恶意软件分析的文件和 URL 上传选项，包括拖放功能和可疑 URL 的输入字段。

从数据到决策：可操作的情报和报告

CTI Analysis 101：定量、定性和机器学习

有了处理过的数据，下一步就是对其进行分析，以提取可操作的情报。使用定性和定量分析、基于机器的技术和统计方法来获得有意义的见解。

将数据转化为行动：保护的报告和见解

将分析的数据转化为可操作的见解和报告，为潜在威胁和建议的对策提供明确的指导。

CTI分析和可视化的5个必备工具

Tableau：增强数据可视化，实现更好的见解和决策。
Maltego：可视化和分析不同数据实体之间的关系，提供潜在威胁的全面视图。
KeepNote：协助记录和组织调查信息。
Sophos：为端点、网络和云环境提供全面的安全解决方案。
SOCRadar：监控数字资产并提供上下文威胁情报，从而增强您的整体安全态势。

分享就是关怀：分发和集成威胁情报

及时可靠：自动和手动CTI传播

CTI 生命周期的最后一步是与相关利益相关者共享分析的情报。确保使用自动和手动方法及时可靠地传播情报。

用于共享和协作应对威胁情报的 5 大平台

OTX AlienVault：促进社区驱动的威胁情报共享。
Exchange X-Force：利用威胁情报源和研究来增强主动安全措施。
Mandiant IOC：创建和共享入侵指标（IoC），帮助检测和响应威胁。
Zoho：管理业务流程和协作，确保将威胁情报无缝集成到日常运营中。
SOCRadar：提供威胁情报和数字风险保护，与安全运营中心（SOC）集成，以增强威胁检测、监控和响应能力。

发展您的CTI：反馈、培训和适应新威胁

您的CTI反馈循环：改进和持续改进

一个成功的CTI计划是动态的，并且不断发展。收集利益相关者的反馈，以完善和改进 CTI 流程。定期评估和更新您的 CTI 策略，以适应新出现的威胁。

提高您的 CTI 技能：针对不断变化的威胁形势进行培训

不断变化的威胁形势需要对您的情报团队进行持续培训，以保持最佳效率。定期向他们更新最新的网络安全趋势、工具和技术。培养一种学习和适应的文化，在这种文化中，领先于新威胁成为第二天性。鼓励您的团队获得认证、参加研讨会和参加行业会议。通过营造一个优先考虑增长和知识的环境，您可以确保您的安全态势保持强大且具有抵御新出现的威胁的能力。

网络威胁情报：一种主动方法

对于任何旨在领先于网络威胁的组织来说，创建通用威胁情报方法都至关重要。首先定义明确的目标并建立一个强大的框架。然后，收集和处理数据，对其进行分析以产生可操作的情报，并有效地传播它。请记住，这只是构建 CTI 程序的一种方法;那里有无数的工具和方法。持续改进和适应对于保护您的组织免受不断变化的威胁至关重要。采用这种积极主动的方法，在不断变化的网络安全环境中加强防御。我鼓励你分享你最喜欢的工具以及你喜欢它们的原因，为一个集体知识库做出贡献，使行业中的每个人都受益。

要继续扩展有关如何实施威胁情报计划的知识，请阅读 Scott J. Roberts 和 Rebekah Brown 撰写的“实施威胁情报：从业者指南”。

探索下一步

现在，您的威胁情报环境已经建立，让我们深入了解将原始数据转化为可操作见解的关键步骤。继续阅读...

将暗网数据转化为网络安全情报

如何将原始暗网数据转化为可操作的网络安全计划？了解基本的监控位置、路径...

publication.osintambition.org

https://publication.osintambition.org/transforming-dark-web-data-into-cybersecurity-intelligence-1224566e2719

自动化您的暗网威胁情报：了解实现这一目标的技术和工具...

适用于暗网 OSINT 的 Python：自动执行威胁监控

了解如何使用 Python 自动监控暗网论坛、泄漏站点和市场，以发现可操作的威胁......