EC-Council CND 網路防禦課程

Module 18: Threat Prediction with Cyber Threat Intelligence

// 模組概觀: 為什麼需要 CTI?

在傳統的網路防禦中,我們往往是被動的(Reactive):等待 IDS 告警,然後修補。但在現代的網路戰中,藍隊 (Blue Team) 必須轉向主動防禦(Proactive Defense)。

Cyber Threat Intelligence (CTI) 是關於收集、分析有關威脅與攻擊者的資訊,幫助我們在攻擊發生前做出明智決策。它回答了關於攻擊者的:Who, What, Why, Where, and How

01

四種威脅情資類型

根據使用對象與目的,CTI 分為四個層級。這是考試的重點。

類型 受眾 (Audience) 內容範例
Strategic (戰略型) 高階主管 (C-Level, Board) 財務衝擊、趨勢分析、歸因 (Attribution)。
Tactical (戰術型) 資安經理、架構師 攻擊者使用的 TTPs (戰術、技術、程序)。
Operational (作戰型) SOC 分析師、應變團隊 具體即將發生的攻擊活動、惡意活動跡象。
Technical (技術型) 自動化系統 (FW, IDS) IoCs (Hash, IP, Domain) - 可直接匯入設備阻擋。
02

IoC vs. IoA

分辨這兩者對於事件分析至關重要。


IoC (Indicators of Compromise)

入侵指標:代表攻擊已經發生留下的證據。這是「法醫」視角。

  • ● 惡意軟體的 MD5/SHA256 Hash
  • ● C2 伺服器的 IP 地址
  • ● 修改過的 Registry Key

IoA (Indicators of Attack)

攻擊指標:代表攻擊正在嘗試進行中。這是「預警」視角。

  • ● 持續的 Ping Sweep 或 Port Scan
  • ● 異常的出站流量 (Beaconing)
  • ● 多次登入失敗 (Brute Force)
03

The Pyramid of Pain

這是 David Bianco 提出的概念,描述不同類型的 IoC 對攻擊者造成的「痛苦指數」。藍隊的目標是盡可能讓攻擊者感到痛苦。

  • 🔴 TTPs (最頂層 - Tough): 攻擊者的行為模式。如果我們能偵測並阻斷 TTPs,攻擊者必須重新訓練或發明新戰術。
  • 🟠 Tools: 攻擊工具 (如 Mimikatz)。
  • 🟡 Network/Host Artifacts: User-agent 字串、檔案路徑。
  • 🟢 Domain Names: 惡意網域。
  • 🔵 IP Addresses: 攻擊來源 IP。
  • Hash Values (最底層 - Trivial): 檔案雜湊值。攻擊者只需改一個 bit 就能改變 Hash,對他們來說不痛不癢。

// TACTICAL SIMULATION: CND EXAM DRILL //