您需要了解的重要威胁情报收集来源

数据收集是网络威胁情报不可或缺的一部分，因此威胁情报收集来源是计划中最重要的组成部分之一。如果没有强大的情报收集来源，您将无法洞察威胁，也无法生成准确的情报来增强组织的网络防御能力。

本指南将通过分析封闭和开放、技术与人力、内部和外部来源之间的差异，教您了解情报收集来源。然后，它将展示您可以用作收集来源的内容以及潜在的优点和缺点。

定义情报收集来源并简化收集流程至关重要，这样您和您的团队才能有效地收集、分析和传播可操作的情报。让我们开始学习如何做吧！

威胁情报收集来源有哪些？

在网络威胁情报 (CTI) 中，您的工作围绕威胁情报生命周期的六个阶段进行：规划、收集、处理、分析、传播和反馈。遵循此生命周期可让您满足组织或各个团队所承担的情报要求。

例如，情报需求可能包括收集特定威胁行为者在过去六个月内使用的战术、技术和程序 (TTP)。这将使安全运营团队能够优先考虑他们投入时间和精力加强的安全控制。

为了满足情报需求，您需要收集数据。这是威胁情报生命周期的第二阶段：收集。在此阶段，您将通过确定要从中收集信息的相关数据源来收集满足您在规划阶段定义的情报需求的信息。

数据源是一种渠道、系统或存储库，可用于收集与贵组织相关的网络安全威胁信息。因此，收集源只是可重复使用以反复收集新信息的数据源。

在情报界，有各种收集来源，例如人力情报 (HUMINT)、地理空间情报 (GEOINT)、测量和签名情报 (MASINT)、信号情报 (SIGINT)、开源情报 (OSINT) 等。然而，在 CTI 中，您可以将收集来源简化为两个范围：

技术与人：您收集的信息是从技术控制（例如日志）还是人工操作员（例如在线人员）收集的？

开放与封闭：信息是免费提供的还是有访问限制（付费墙）？

• 技术情报：这包括网络威胁的所有技术方面，例如恶意软件、漏洞、黑客工具、攻击者基础设施（域和 IP 地址）和 TTP。您通常会从外部 CTI 源（商业和开源）和您自己的内部日志数据中收集这些信息。

• 人力情报：这是通过直接的人际互动和观察收集的信息。在 CTI 中，这通常涉及与私人消息组（例如 Telegram）上的威胁行为者和关联方进行互动，以及监控暗网、社交媒体或数据泄露网站。

• 开放源：开放情报源是那些你可以自由收集数据的来源。它们可以是内部的（你自己的日志数据）或外部的（开源 CTI 源）。

• 封闭源：这些是专有或受限制的来源，要么需要付费，要么对访问者有限制。它们包括商业 CTI 源和 Telegram 或 Signal 等私人消息平台。

现在您已经了解了情报收集来源的基础知识，让我们来研究一下具体的例子以及如何使用它们。

威胁情报收集来源

从高层次上看，数据收集来源可以是技术的，也可以是人为的，可以是开放的，也可以是封闭的。具体来说，数据收集来源可以进一步分为两大类。

1. 内部收集来源：它们包含特定于您的组织的信息。

2. 外部收集源：它们可以包含有关威胁的信息。

每类收集来源对组织来说都是有价值的，您将使用它们来收集完成情报生命周期和满足情报要求所需的信息。让我们先来看看内部情报收集来源。

内部情报收集来源

内部收集源是组织内提供威胁信息的资源。这些信息可能来自您的检测工具（SIEM、EDR 等）发现的安全事件、您在筛选日志时执行的威胁搜寻，或用户和实体行为分析(UEBA) 系统（或聪明的人类分析师）发现的异常。

就威胁情报而言，这是最值得收集的信息类型，因为它与您的组织最为相关。对于 CTI 分析师来说，它具有相关性、及时性、可操作性和宝贵性。不幸的是，必须允许发生安全事件，才能通过入侵分析收集这些数据。

如果您的安全运营团队在威胁执行任何恶意操作之前就将其阻止，那么您所能收集的有关其能力或所用基础设施的信息就会受到限制，您所能生成的情报也会受到限制。这导致安全分析师和 CTI 分析师之间就需要等待多长时间才能消除威胁展开持续的争论。

安全团队希望立即阻止并根除攻击，而 CTI 团队则希望让攻击继续进行并收集尽可能多的信息。通常，安全团队会获胜，因为大多数企业都厌恶风险，希望轻松取胜。这不一定是一个坏策略。重要的是您要向更广泛的企业传达这将如何影响可能产生的情报。

克服需要真实安全事件才能产生内部数据这一限制的一种方法是使用蜜罐。这些诱饵系统旨在通过模仿组织的系统并捕获用于攻击威胁的 TTP 来吸引、检测和分析威胁。它们是 CTI 团队非常有价值的工具。

考虑到优点和局限性，以下是您可以从中收集信息的主要内部情报收集来源类型。

恶意软件

恶意软件是您遇到的任何恶意软件的统称。这可能是包含恶意宏的 Word 文档、勒索软件或Rubeus等后漏洞利用工具。它将是您收集数据的主要来源之一，因为大多数入侵都会使用某种形式的恶意软件（现成的恶意软件，如Cobalt Strike或定制的恶意软件）来实现其目标。

许多入侵并不涉及对手开发自定义恶意软件或黑客工具。相反，威胁行为者将使用现成的商品恶意软件，因为构建自定义恶意软件和工具需要时间、技能和金钱。这使得对手开发自定义恶意软件的成本高昂。

公共威胁情报报告通常重点关注恶意软件。它们会讨论恶意软件的发现地点、与哪些攻击活动相关以及恶意软件的工作原理。在报告的最后，它们会列出一个哈希值列表，您可以将其用作 IOC 在您的环境中进行搜索，以查看您是否受到了影响。

这没问题，但恶意软件作为数据源的真正价值在于分析您在环境中发现的内容。通过分析恶意软件，您可以获得有关攻击者使用的 TTP 的宝贵见解，这些 TTP 特定于您的环境。TTP/恶意软件映射到威胁行为者的“能力”（使用钻石模型），可用于跟踪对手、衡量其成熟度并确定网络防御的优先级。

话虽如此，将对手直接映射到他们使用的恶意软件是危险的，原因有二：

1. 并非所有对手的能力都是恶意软件，也并非所有威胁都会使用它。

2. 如果您专注于跟踪对手及其能力，那么您就不会落入跟踪恶意软件的陷阱。威胁行为者将使用各种恶意软件，这些恶意软件会根据每次操作而变化（例如，他们针对的对象、他们如何进行操作等）。跟踪恶意软件会跟踪恶意软件作者，而不是用户。

从技术角度来看，您可能希望跟踪正在使用的商品恶意软件及其功能。这可以帮助确保您拥有正确的技术控制，因为恶意软件作者会为其恶意软件添加新功能，从而保护您免受各种参与者的攻击。只需确保您知道自己在跟踪什么，不要将恶意软件与威胁参与者混淆。

以下是恶意软件作为情报收集源的用例：

• 您可以使用恶意软件转向新的数据源（网络指标）并识别入侵之间的共同点。这对于查找更多情报和 IOC 以及追踪对手或攻击活动非常有用。

• 恶意软件可用于痛苦金字塔的各个阶段。您可以使用它快速搜索哈希值，识别执行后留下的痕迹以进行威胁搜寻，或者仔细剖析它并识别其行为以编写检测规则。

• 恶意软件动物园是上传到在线沙箱进行分析的恶意软件样本的集合。这些是肥沃的狩猎场，您可以用它来收集有关对手的数据并建立可能的检测。例如，如果您使用最新版本的 PlugX 识别出参与者 XYZ，您可以搜索此恶意软件的样本，下载并分析它们，然后编写规则以在您的环境中检测它。

• 您可以解析在环境中发现的恶意软件的配置数据，以揭示有关对手的信息。当使用商品恶意软件来了解使用特定配置的原因时，这尤其有用，并且如果您可以在入侵中跟踪此决定，则可以帮助您追踪对手。

恶意软件动物园是使用YARA 规则收集和搜寻恶意软件样本的最常用方法。如果您受到环境中可找到的恶意软件的限制，它们是一个很好的外部数据源。

但是，将恶意软件上传到这些网站时要小心，因为您可能会向对手通风报信或意外上传包含的数据。流行的动物园包括VirusTotal、Malware Bazaar和theZoo。

域名和 IP

域名和互联网协议 (IP) 地址是第二大最常见的情报收集来源。这些网络指标在钻石模型上映射到对手的基础设施。

对手使用域名和 IP 地址主要有两个原因：

1. 与他们部署的恶意软件建立命令与控制 (C2) 通道。这通常称为 C2 服务器。

2. 托管恶意软件或网络钓鱼网站。

在当今互联互通的世界中，这些网络指标与网络攻击中的恶意软件一样突出。每个攻击者都需要基础设施来瞄准受害者。

了解如何有效收集和使用域名和 IP 对威胁情报团队来说至关重要。它们可以提供有关威胁行为者的许多详细信息，包括别名（谁注册了域名）、地理位置数据、相关恶意软件或攻击活动，以及可供搜寻的其他网络指标（TLS 证书、IP 地址、URL、用户代理等）。

这些都是新的数据点，您可以使用指标生命周期来转向这些数据点并生成可操作的情报。

您可以从外部数据源（如威胁情报源或 CTI 报告）收集域名和 IP 地址，但从您自己的数据源（例如网络日志）收集这些信息最有价值。对手可以在活动期间或活动期间快速更改其网络基础设施。您的内部数据源包含有关用于针对您的组织的特定网络基础设施的信息，从而使其最具可操作性。

以下是域名和 IP 作为情报收集源的用例：

• 域名和 IP 地址是执行威胁搜寻的绝佳数据源。它们可让您快速识别日志中的可疑或恶意流量。

• 您可以在入侵分析或事件响应期间使用外部网络指标来丰富当前数据，以追踪攻击的来源。

• 域名和 IP 地址是很好的枢轴点，可让您发现有关对手及其基础设施的更多数据。

外部情报收集来源

外部情报收集来源位于您的组织之外。它们提供有关威胁和漏洞的见解，这些威胁和漏洞并非特定于您，但已被发现被威胁行为者使用或利用。

这些见解包括最新的攻击技术、用于执行攻击的基础设施以及行业趋势等。这些信息很有价值，如果这些信息与您相关，您应该使用它来保护您的组织免受新出现或持续的威胁。然而，由于这些信息是由第三方报告的，因此时效性和从这些数据中生成的情报的可操作性受到了限制。

例如，要使入侵指标(IOC) 出现在威胁报告、情报源或暗网上，它必须经过许多人的审核。在入侵过程中发现它的分析师必须报告它，分析师工作的供应商需要传播该报告，然后将其添加到威胁源中，最后，您就可以获取该指标。

有很多步骤，每一步，指标（或数据）的时效性和可操作性都会降低，最后你得到的指标可能是几天、几周甚至几个月前的。在此期间，威胁可能会发生变化，因为攻击者会定期更改其原子指标（IP 地址、域、哈希值）和逃避检测的工具。

这并不是说外部数据毫无用处。在日志中搜索 IOC 可能非常有用。您可能会发现安全工具未检测到或安全团队忽略的内容。您只需要认识到外部数据的局限性，并将其用作鱼饵或枢轴点，而不是检测规则或关键证据。

让我们研究一下可以用来收集数据的外部情报收集源的类型。

威胁情报源

威胁情报源相当于网络安全领域的 RSS 新闻或社交媒体源。它们是提供威胁和漏洞实时数据的无休止列表，通常包括威胁及其相关 IOC 的简要描述。

威胁情报源主要有两种类型：

• 开源信息源：这些免费提供的信息源从公共新闻网站、安全博客、社交媒体帖子和公共网络安全报告收集数据。这些信息源也称为开源情报 (OSINT)，您可以不受限制地使用这些信息源。不幸的是，它们往往非常通用，需要努力筛选出适合您特定情报需求的信息源。

• 封闭式或商业信息源：这些信息源被锁定在付费墙后面，由威胁情报供应商提供或包含在情报共享社区成员资格中，例如 ISAC、CERT 或私人团体。它们往往比开源信息源更好，因为它们更适合您的组织、行业或情报需求，并且 IOC 更及时。

威胁情报源在理论上很棒，您应该将其用作情报来源。但是，请务必记住，它们包含组织外部的数据，这些数据通常是原子的，很容易被对手更改。它们将允许您检测攻击大量目标的一般威胁，但并非特定于您。

为了充分利用这些反馈，您必须花时间衡量其质量。这包括它们与您的组织的相关性、它们与您的情报要求的匹配程度以及所包含数据的质量（例如，误报的数量、数据的及时性等）。您还应该创建一个管道，以验证反馈中包含的 IOC 是否合法，并将它们推送到您的安全工具以进行自动收集和威胁搜寻。

本指南教您如何使用 Python、MISP 和 CrowdStrike Falcon构建自动化 IOC 管道。

以下是威胁情报源作为情报收集源的用例：

• 精选的威胁情报源使您能够自动提取、处理和传播威胁情报。

• 您可以使用关注不同威胁的多个源来更广泛地了解威胁形势。

• 威胁源可以是付费的，也可以是免费的，让您可以自由选择要获取的数据类型。

• 您可以使用Feedly和Inoreader等新闻聚合器创建自己的威胁情报源，以实现最终控制。

TLS 证书

传输层安全 (TLS) 证书是一种加密协议，可在计算机网络上提供安全通信。它们以独特的方式将 IP 地址、域名和 Web 服务器联系在一起，并揭示有关恶意行为者基础设施的重要信息。

收集 TLS 证书可以揭示以下关键情报：

• 证书详细信息：有关证书持有者、颁发 CA、有效期和加密密钥的信息。

• 域名和 IP 关联：将 TLS 证书链接到威胁行为者使用的特定域和 IP 地址的数据。

• 证书异常：检测证书颁发和使用过程中是否存在异常或可疑模式，例如自签名证书或有效期较短的证书。这可能表明证书正被用于托管恶意网站。

您可以通过主动扫描互联网或通过威胁情报源收集 TLS 证书。TLS 证书比域名和 IP 地址更难处理，因此攻击者需要付出更多努力和成本才能更改证书。威胁行为者在活动之间使用相同的 TLS 证书或犯下泄露操作细节的加密错误是很常见的。

扫描和收集 TLS 证书的工具包括Google 的证书透明度项目、CertSpotter和Censys。然后，您可以使用Wireshark和Zeek等工具来捕获、比较和分析 SSL/TLS 流量。

一旦设置了内部数据源和威胁情报源，建立 TLS 证书集合通常是大多数组织的下一步。

以下是 TLS 证书作为情报收集源的用例：

• 您可以使用 TLS 证书数据来识别并阻止恶意网站和服务器，以防止它们造成危害。

• TLS 证书数据可用于扩展您的 IOC 列表、扩大您的威胁搜寻范围并丰富您当前的数据集。

• TLS 证书是追踪威胁行为者和攻击活动的绝佳数据点，因为它们经常被重复使用，因为复制它们的时间和成本很高。

暗网监控

暗网监控是一种相对较新的情报收集来源。它涉及观察不在表面网络上的论坛、市场和其他地下社区，以便对潜在违规行为、数据泄露和新出现的威胁进行预警。

网络犯罪分子经常利用暗网进行邪恶活动，包括出售被盗数据、吹嘘入侵组织以及传播恶意软件。在这里，您可以找到犯罪黑社会的最新动态，使其成为无用的信息来源。

不幸的是，暗网监控可能很困难，主要有三个原因：

• 访问和匿名性：网络犯罪分子会对新来者进行审查，使得访问出售功能或数据的某些团体变得困难。

• 音量和噪音：在大量非法活动中筛选与您的组织相关的内容可能颇具挑战性。

• 道德和法律考虑：建立自己的暗网监控程序需要考虑与网络犯罪分子接触的法律限制和道德考虑。

为了克服这些挑战，许多威胁情报供应商（例如ZeroFox、Rapid7和Redscan）都提供用于监控暗网的产品或服务。

虽然暗网监控可以成为出色的收集来源，但它是一项高级功能，只有在您巩固了其他收集来源（恶意软件、域和 IP、TLS 证书和威胁情报源）后，您才应该考虑获取它。这些传统的收集来源为投入的时间提供了更多的价值，并且不需要昂贵的外部服务。

以下是暗网监控作为情报收集来源的用例：

来自暗网的数据通常处于前沿，涵盖新出现的威胁、未来的攻击和最近的数据泄露。

您可以从暗网收集各种情报，包括正在被利用的漏洞、待售的恶意软件、新兴的威胁行为者和攻击活动、泄露的凭证等等！

暗网监控可帮助您实时解决潜在风险和威胁，从而主动保护您的组织，而无需等待传统检测工具或媒体报道新闻。

私人消息组

私人消息组是您可以收集的最直接的情报来源。此活动涉及积极参与或观察无法通过公共论坛访问的群组中威胁行为者的通信。

这些私人群组通常托管在 Telegram、Discord、WhatsApp 和 Signal 等平台上，并提供新出现的威胁、有计划的攻击和新技术的早期预警。

就像暗网监控一样，私人消息组很难进入和有效监控。网络犯罪分子通常会审查新来者，目的是不让自己受到指控，而且有很多噪音需要过滤。值得庆幸的是，你的目标不是揭露这些罪犯，而是追踪他们的能力和潜在威胁。

同样，包括Intel471 Titan和Recorded Future在内的多个平台都可以帮助您做到这一点。但是，作为情报收集来源，它应该在您的优先级列表中排在较低位置。

以下是私人消息组作为情报收集来源的用例：

• 私人消息组提供有针对性攻击的最早警告信号，让您有时间在攻击发生之前加强防御。

• 与讨论过的所有其他情报收集来源不同，私人消息组允许您直接将自己注入情报过程并欺骗对手。

• 就像暗网监控一样，私人消息组中可以讨论任何事情，包括漏洞、恶意软件、威胁行为者和攻击活动、泄露的凭证等。

数据收集对于生成和共享良好的网络威胁情报至关重要，因此威胁情报收集来源是关键的组成部分。

本指南向您介绍了什么是情报收集来源，向您展示了可以使用的来源示例，并讨论了每种来源的优缺点。现在您应该有足够的知识来开始定义您的情报收集来源、改进您的收集过程，并认识到如何更好地使用您的数据。

请记住，您不需要立即使用讨论过的所有收集来源。您只需要准确定义您收集情报的位置以及可以使用的用途，以便满足您的情报需求。收集管理框架(CMF) 是实现此目的的绝佳工具。

原文始发于微信公众号（网络研究观）：您需要了解的重要威胁情报收集来源