突破防御思维：什么是进攻性威胁情报？

向对手学习，以指导更佳实践

威胁情报（Cyber Threat Intelligence, CTI）常被误解。它常被简单地视为阅读威胁报告或追踪高级攻击者，但这往往偏离了重点。CTI，尤其是其“网络”方面，常由缺乏深厚技术背景的人员接手。这本身并非问题，但当分析缺乏深度或对攻击如何发生、技术如何在现实世界中被运用缺乏理解时，问题便显现出来。

善用 威胁情报不应是被动的。它涉及利用历史数据、不断演变的事件模式以及红蓝队能力的交集，来理解对手的思维、行动和适应方式。做得好时，威胁情报通过指导防御体系的设计、测试和演进，能显著增强组织的整体安全态势。

如同在进攻性安全（Offensive Security）中一样，最终目标不是为了炫耀或单纯搞破坏（况且破坏常常触发警报，因此避免偏离常态很重要）。总体目标是改善防御——红队执行的所有进攻性安全行动，本质上都是以防御为目的的进攻性安全。无论你是渗透测试员、模拟真实对手的红队成员，还是追查警报的蓝队成员，你们的目标是一致的：帮助组织变得更难被攻破，全方位提升安全性，只是路径不同。

进攻性安全 ≠ 威胁情报？

在技术圈内，进攻性安全与 威胁情报之间仍存在隔阂。尽管威胁主导测试（Threat-led Testing）和红队演练日益受到重视，但进攻性威胁情报（Offensive Threat Intelligence） 却很少被作为一个独立的学科来讨论。

但它理应如此。

这远不止于复制失陷指标（Indicators of Compromise, IOCs）或阅读成品情报（Finished Intelligence, Fintel）报告。进攻性威胁情报意味着在技术手法层面理解对手行为，识别其工具和战术的变化，并将这些知识转化为能力建设，以改进我们作为攻击者进行红队演练的方式。它为模拟规划（Emulation Planning）、作战决策（Operational Decision-making）和防护措施验证（Validation of Controls）提供输入。

红队在此不仅获益于"像攻击者一样思考"，更能从理解攻击者在现实世界中如何演变以及他们暴露的原因来提升能力。

弥合鸿沟

传统的 威胁情报角色往往更偏向防御侧。分析师生成的报告用于指导蓝队或输入 SIEM 规则创建，而非理解攻击者技术或发掘新技术。但其对进攻团队的价值同样巨大。关键区别在于情报如何被应用和构建——利用那些被捕获的“恶意分子”（“恶意”既指其非法目的，也指其被捕获的事实）的知识。

当 威胁情报被用于指导进攻模拟（Offensive Simulation）和对手模拟（Adversary Emulation）（这两个短语常被混用，实则不同）时，它就成为了力量倍增器（Force Multiplier），能极大改进红队的行动方式。红队可以将其目标与现实攻击者在特定行业或特定动机下的行为对齐，从而更好地“演练”蓝队，使其与真实世界的预期保持一致，促使他们适应并理解：今天足够好的防御，明天可能就不堪一击。

这将演练从基础的漏洞利用演示提升到更高级的、威胁知情（Threat-informed） 的行动，迫使防御者解决其检测与响应计划中的盲区，同时也鼓励蓝队保持领先一步——为红队发现的新兴技术开发检测规则，从而在环境中识别恶意行为。

知己知彼

... 及其动机

最优秀的操作员不仅懂技术。他们理解攻击者的逻辑、动机和时机。知道如何利用某物是一回事，但理解对手何时会使用它、它如何融入网络噪音、以及他们追求何种结果，这才是区分优秀红队与卓越红队的关键。

对手是人。他们遵循激励。必要时他们会走捷径。他们会重用基础设施、采用公开发布的工具，有时会留下操作失误。然而，他们也会创新，并在团体间分享知识。

通过仔细研究高级持续性威胁（APTs）、勒索软件运营商、访问代理（Access Brokers）及其他犯罪团伙的战术，我们作为红队成员、对抗工程师（Adversarial Engineers）和操作员（Operators），能更深入地洞察真实攻击是如何展开的。我们学习他们如何串联弱点、利用糟糕的分段（Segmentation）、或瞄准被忽视的服务（比如那个似乎没人在乎的内部 Web 应用）。这种背景塑造了红队的运作方式，帮助他们模拟真实行为，而非仅仅反复追逐域管理员等高权限访问。

理解威胁行为者的目标选择（Targeting）也提供了特定行业和领域的认知。了解哪些行业垂直领域正被谁、以何种技术手段针对，使团队能够定制其行动，以实现最大的相关性和真实性。

一个很好的例子可能是红队攻击组织的方式：传统的社会工程学 -> 执行载荷 -> 内网横向移动，可能并非总是执行演练的最佳方式。若让红队以特定职位的合法员工身份开始行动，可能在理解控制措施和检测能力的差距方面提供更大价值，同时保持真实性。

威胁格局在持续扩展，威胁行为者/对手使用的方法也在变化。正如宏（Macros）被逐步淘汰，不同类型的攻击者正使用其他初始访问（Initial Access）方法，而攻击方式取决于其动机。

下图（多年前制作）展示了攻击者动机和影响的增加，伴随着能力和普遍性的上升，如何映射到不同的威胁层级。

我们可以看到不同类型威胁行为者的普遍性及其伴随的动机，以及能力 vs 动机和影响的权衡在三角形尖端变得更加尖锐。

威胁情报之于专注进攻性安全的专业人士

威胁情报的核心在于在威胁来袭前（或在发生入侵时）理解它们。它涉及收集、分析和综合信息，以揭示数字资产可能如何被攻陷。但对红队而言，重点不在于指标（IOCs），而在于行为模式（Patterns of Behaviour） 及其如何随时间演变，以及如何改造现有技术（例如将时间篡改（Timestomping）扩展为提交篡改（Commit Stomping））。

理解威胁、入侵和攻击者，能防止红队陷入总是追逐相同目标和目的的陷阱。威胁知情的操作员会围绕真实入侵的发生方式来塑造其攻击。这可能意味着转而攻击生产系统而非测试系统，或跳出传统的 Active Directory，去攻击真正重要的数据存储。

这可能意味着模仿间谍组织的缓慢、谨慎行动，而非普通罪犯和勒索软件团伙的喧嚣快攻。有时，使用可能让你被抓到的技术恰恰是重点——它迫使防御者正确响应，并检验其响应计划。虽然本文重点不在红队演练，但理解它及其如何与 威胁情报对齐很重要。

这种思维迫使防御者看得更深。仅仅拦截一个哈希值或 IP 地址已不够。他们必须理解意图、横向移动模式，以及在特定条件下何种行为可能是良性的或恶意的。

情报主导的红队演练（Intelligence-led Red Teaming） 在整个演练过程中营造了更强的对抗性思维（Adversarial Mindset）。从基础设施搭建、载荷投递到操作员的决策过程，一切都由真实对手的行为所塑造。

威胁情报也能揭露内部威胁

威胁情报不仅关乎 APT、罪犯和勒索软件团伙。它还能揭示内部风险，如内部威胁（Insider Threats）、滥用受信访问、糟糕的职责分离（Role Separation）或高价值错误配置（Misconfigurations）。这些通常更难检测，但其破坏性可能与外部对手不相上下。

一次由针对性威胁情报（Targeted Threat Intelligence）指导的优秀红队演练，可以模拟内部人员出售访问权限或利用合法权限进一步访问源代码或供应链等区域。

了解内部威胁通常使用的工具，使组织能够为这些活动构建检测规则，并再次理解差距可能存在于何处。

情报非静态数据流：乃作战赋能器

威胁情报不是静态的，优秀的情报应以流动的方式运作。它不应只是另一个 PDF 文件或一串被输入 SIEM 后就石沉大海、直到危机爆发（Shit Hits the Fan）才被记起的指标流。当被恰当嵌入时，它成为一个作战组件，指导进攻性行动如何规划和执行。

这正是进攻性威胁情报展现其真正价值之处。

利用它来构建反映真实世界攻击者设置的基础设施——从域名、CDN 选择和镜像目标 TLS 配置，到载荷的投放方式（多采用无阶段模式）。更好地观察威胁行为者的失误，有助于你构建自己的OpSec模型来避免这些失误并做出调整。

理解对手如何横向移动，并应用这些经验教训来测试客户的防护措施是否做出了任何有意义的响应，是红队与进攻性安全专家常忽视的关键点。

威胁情报助力红队从工具执行者蜕变为对手扮演者。它为真实的演练定下基调，提供的价值远不止一份漏洞列表。

结语

威胁情报磨砺了红队像对手一样思考的能力，更重要的是，使其能够以受控、可重复和可衡量的方式像对手一样行动。当与扎实的技术手法（Grounded Tradecraft）相结合时，这种思维使红队能够提供真正的价值——不仅在于证明漏洞可被利用，而是展示真正的威胁行为者的攻击逻辑、目标选择依据及潜伏时长，从而创造实质价值。

归根结底，其意义不止于知晓威胁，而在于深度理解威胁直至短暂化身其中，最终助力防御者习得克敌之道。

👉 关注「玄月调查小组」，解剖硬核技术！

原文链接

[1] Offensive Threat Intelligence: https://blog.zsec.uk/offensive-cti/

原文始发于微信公众号（玄月调查小组）：突破防御思维：什么是进攻性威胁情报？