网络威胁情报（CTI）关键知识图谱与思维导图

[wshop_paid post_id=”35454″ show_buy_btn=”true”]

本文作者Jurgen广泛地研究了 SANS GCTI 和 EC-Council CTIA 网络威胁情报 (CTI) 证书，并试图总结能够覆盖80%CTI领域的最关键的20% 的知识。希望它对CTI的新手或专业人士都有价值。

CTI基础

• 网络威胁情报 (CTI) 是收集和分析有关网络威胁和对手的信息。推动创建威胁模型，这些模型能够针对各种现有的、新兴的、预测的网络威胁或攻击，针对网络威胁的准备、预防、检测和响应行动做出明智的决策
• 网络威胁情报 (CTI) 计划可帮助高级商业领袖针对现有的、新兴的、预测的网络威胁或对组织的攻击做出明智的前瞻性战略、运营和战术决策
• 网络威胁情报 (CTI)通过将未知威胁转化为已知威胁，帮助组织识别和降低各种业务风险，并帮助推荐各种先进的主动防御策略
• 网络威胁情报既是产品（报告、演示或消息）又是过程（收集、处理和生产）
• 该组织根据其业务需求和风险级别制定其网络威胁情报 (CTI) 战略

商业价值

• CTI 帮助更快更好地降低现有的、新兴的、预测的网络威胁或攻击的有效性
• CTI 帮助推荐可实施的战略和战术，以帮助降低网络风险
• CTI 帮助组织识别攻击机会并主动降低网络风险
• CTI为管理层和高管提供高级态势感知，以了解保护关键资产和业务流程的重大威胁
• CTI 提供经过分析的威胁行为者活动，帮助安全团队将调查从特定指标转移到攻击 TTP，从而加快调查速度

CTI 要求

• 网络威胁情报产品应该是：客观、及时。准确、可操作
• 网络威胁情报要求需要自上而下而非自下而上
• 网络威胁情报最适合在成熟的 IT 组织之上运行的安全程序之上
• Actionable Threat Feeds 需要Quality IOC（低容量、高质量）胜过Quantity IOC（高容量、低质量）
• CTI 成功的一般要求：可靠的规划和指导文件、优先情报要求 (PIR) 和成熟、运作良好的 IT 组织

批判性思考

• 从事网络威胁情报工作就是要克服认知偏见，以确保提供客观准确的情报产品
• 安全人员经常利用他们的经验作为完全偏见在调查期间迅速得出结论
• 所有威胁分析师都有偏见（这些偏见可能是好的、有效的和快速的，但它们也会影响判断）
• 认知偏差或谬误：对应偏差、确认偏差、自我服务偏差、信念偏差、事后见解偏差、轶事谬误、诉诸概率等。
• 反偏见策略：决策理论、博弈论、行为经济学、认知心理学、机器学习、人类可靠性工程

CTI 概念

• 可操作的威胁情报= 客观编写 + 及时交付 + 准确事实 + 可操作建议
• 威胁=机会+能力+意图
• 攻击= 动机（目标）+ 方法 + 漏洞
• 威胁攻击者活动= 攻击者名称 + 观察到的攻击/入侵 + 攻击者 TTP + 关键指标（IOC 或 IoA）
• 威胁评估= 置信度 + 分析 + 证据 + 来源参考

区别

• 威胁情报的类型：战略威胁情报、战术威胁情报、运营威胁情报、技术威胁情报（参见下图：）

• 情报来源的类型：开源情报 OSINT（最全面的OSINT开源情报工具列表）、人类情报 (HUMINT)、网络反情报 (CCI)、技术情报 (TECHINT)、社交媒体情报 (SOCMINT)
• 网络威胁参与者的类型：内部威胁、工业间谍、脚本小子、有组织的黑客、国家资助的黑客、自杀黑客、网络恐怖分子、黑客行动主义者
• 情报工具的类型：链接分析工具、威胁建模工具、威胁源聚合器、威胁情报平台
• 归因类型：群体归因、运动归因、入侵集归因、真实归因、民族国家归因

关键资源：

• 生命周期：网络威胁情报生命周期、指标生命周期、高级持续威胁生命周期、勒索软件生命周期、OODA 循环
• 以攻击者为中心的威胁建模： Kill Chain、ATT&CK、Diamond Model、VERIS、Security Cards、Persona Non Grata、Attack Trees、CAPEC、INTEL TARA/TAL、Invincea
• 数据分析方法：竞争假设分析 (ACH)、机会分析、关键分析、类比分析、似真锥、时间线分析、关键路径分析
• 技术格式和标准：STIX、TAXII、CybOX、OpenIOC、Snort、YARA、SIGMA、CACAO
• 其他：交通灯协议 (TLP)、痛苦金字塔、威胁情报成熟度模型

CTI思维导图：

[/wshop_paid]