SANS出品 | 威胁情报速查手册

引言

在威胁情报的战场上，分析师常面临三重困境：海量数据如何提炼价值？复杂攻击如何精准归因？认知偏差如何规避？

基于Robert M. Lee与Rebekah Brown的SANS FOR578课程，这份威胁情报速查手册v1.0，将威胁情报核心框架、认知心理学陷阱破解、攻防对抗框架浓缩为可快速检索的“战术地图”。让威胁分析既科学高效，又直击决策痛点。

情报需求

情报需求是分析师通过情报流程力求实现的目标。需满足以下条件：

• 只提出一个问题
• 聚焦具体事实、事件或活动
• 支持单一决策
• 对情报团队和消费者透明
• 只有几个优先情报需求

示例：

• 战略级——哪些业务部门最容易面临网络犯罪的风险？
• 操作级——我们行业中有哪些活跃的威胁活动团队？
• 战术级——如何快速响应今日入侵事件？哪些指标最为相关？

威胁的定义

对组织构成威胁（THREAT）的条件：必须存在具备意图（INTENT）、能力（CAPABILITY）和机会（OPPORTUNITY）的对手。

认知偏差与逻辑谬误

认知偏差是分析师思考方式的限制，可能会影响错误的决策和评估。常见偏差包括：

• 锚定效应——过度重视某个信息（通常是第一个发现的信息）
• 确认偏误——倾向于接受支持已有假设的证据，排斥相反证据
• 事后诸葛亮偏误——将不可预测的事件视为视为一组条件或必然结果（“我早就知道会这样”）
• 镜像思维——假设分析对象的行为会与自身行为一致（基于自身经验和偏见）

逻辑谬误是推理中的缺陷，常与认知偏差一起出现。常见谬误包括：

• 重复论证——通过反复强调使他人接受结论
• 举证责任倒置——要求他人反驳自己的主张，而非自证
• 相关即因果（Cum hoc ergo propter hoc）——将相关性错误归因为因果关系

框架与模型

洛克希德·马丁网络杀伤链

洛克希德·马丁网络杀伤链（Cyber Kill Chain）概述了网络攻击的七个阶段，从侦察到数据窃取，帮助组织理解并破坏对手的行动。它最适合用于识别和减轻结构化、有针对性的攻击中的威胁。

• 侦察（Reconnaissance）
• 武器化（Weaponization）
• 投递（Delivery）
• 利用（Exploitation）
• 安装（Installation）
• 命令与控制（Command and Control）
• 行动（Actions）

MITRE ATT&CK框架

MITRE ATT&CK是一个广泛使用的框架，用于阐述对手在战术、技术和流程方面的行为。它有助于用一种通用语言清晰地映射对手的行为细节，以便更清楚地交流和比较。 ATT&CK企业战术：

• 侦察（Reconnaissance）
• 资源开发（Resource Development）
• 初始访问（Initial Access）
• 执行（Execution）
• 持久化（Persistence）
• 权限提升（Privilege Escalation）
• 防御规避（Defense Evasion）
• 凭据访问（Credential Access）
• 发现（Discovery）
• 横向移动（Lateral Movement）
• 数据收集（Collection）
• 命令与控制（Command and Control）
• 数据外泄（Exfiltration）
• 影响（Impact）

钻石模型（Diamond Model）

钻石模型（Diamond Model）是一个可指导跨入侵关联分析和活跃团队构建的简单模型。引用该模型作者的原话："该模型最简单的形式描述了一个攻击者通过某些基础设施部署技术能力来攻击受害者。

有效情报收集源

根据情报需求的不同，有许多收集源可以用于威胁情报（CTI）。分析师应从技术层面上理解其收集内容，以确定能够满足哪些情报需求。建议使用收集管理框架来组织数据来源，明确数据中包含的内容，以及这些数据是如何处理和利用的。无论采用何种收集源，都应注意寻找表明对手选择的人类“痕迹”。

可考虑的收集源包括：

• 恶意软件——哈希值、header元数据、PDB字符串、互斥体、导入哈希。注意寻找人类“痕迹”，如攻击者的“代号”、密码或ID。
• 网络数据——域名（攻击者注册、被劫持合法域名、动态DNS）、IP地址、ASN、被动DNS解析、TLS证书（哈希值、在域名/IP上有效的日期）

情报生命周期

• 规划与指导（Planning and Direction）
• 收集（Collection）
• 处理与利用（Processing and Exploitation）
• 分析与生产（Analysis and Production）
• 分发（Dissemination）

结构化分析技术（SATs）

结构化分析技术（SATs） 是分析师在减少偏见影响的同时，更好地评估信息的方法。

头脑风暴应作为一种结构化分析技术使用，以生成假设或探索潜在结果。它在分析的早期阶段特别有用，可以鼓励创造力、揭示隐藏的假设并避免群体思维。

在分析中做出关键决策时，应使用关键假设检查，以识别和评估支撑你判断的假设。在不确定性或复杂性较高的情况下，它很有价值，以确保分析有根据，揭示潜在的偏见，并评估随着新信息的出现假设是否仍然有效。

当评估复杂问题的多种可能解释或结果时，应使用竞争假设分析（ACH），其中证据可能支持或反驳不同的可能性。它在减少认知偏差、确保分析的系统方法以及识别现有证据最有力支持的假设方面特别有效。

竞争假设分析（ACH）七步骤：

• 提出假设
• 收集证据
• 诊断证据
• 修正假设
• 优先级排序
• 敏感性分析
• 结论与评估

双重规则（Rule of 2）

双重规则是创建活跃团队的一个快捷方式。在钻石模型的两个或更多特征中寻找多次入侵之间的一致性。

示例：我们根据受害者与能力的重叠情况，创建了一个名为“FUZZYSNUGGLYDUCK”的新活跃团队。如果我们看到第三次入侵使用了具有互斥体3133t的窃取者，并且也针对银行，我们会将其归因于“FUZZYSNUGGLYDUCK”活跃团队。

创建评估

可以把评估想象成一个方程式：

评估 = 置信度 + 分析 + 证据 + 来源

示例：基于大厅冰柜和多位SANS讲师的确认，我高度确信休息时间会提供冰淇淋。

消费与生成

消费 网络威胁情报涉及收集、分析并使用有关威胁的信息来保护组织。

示例：审查开源威胁报告以提取可供安全运营中心（SOC）用于检测的IOC。

生产 网络威胁情报涉及分析、创建和共享可操作的洞察，例如分析攻击模式或识别新威胁，以通知他人或提升集体防御。

示例：将入侵映射到钻石模型上，以识别针对组织的新活跃团队，并传播有关战术、技术和流程（TTPs）的信息，以便进行检测。