什麼是 Cyber Threat Intelligence (CTI)?
威脅情資 (Cyber Threat Intelligence) 並不只是「數據 (Data)」或「資訊 (Information)」。它是經過收集、處理、分析後的成品,能幫助組織了解潛在或當前的攻擊者,並據此做出防禦決策。
- > Data: 原始日誌、IP 地址 (未經處理)
- > Information: 經過整理的數據 (例如:此 IP 來自惡意殭屍網路)
- > Intelligence: 分析後的洞見 (例如:此 IP 是 APT29 針對金融業攻擊活動的一部分,建議阻擋並監控特定端口)
CTI 核心目標
PREDICTION (預測) & PREVENTION (預防)
四大威脅情資類型 (Types of CTI)
Strategic (戰略型)
For: 高階主管 (C-Level, Board)
關注長期趨勢、攻擊者的動機、以及對業務的財務影響。非技術性為主。例如:某國家駭客組織針對製造業的間諜活動趨勢報告。
Tactical (戰術型)
For: 安全架構師, 系統管理員
關注攻擊者的 TTPs (Tactics, Techniques, and Procedures)。描述攻擊者「如何」進行攻擊。例如:惡意軟體通常透過魚叉式釣魚郵件傳遞,利用 PowerShell 執行。
Operational (行動型)
For: SOC 分析師, 事件回應團隊
針對具體的、即將發生的或正在進行的攻擊活動。包括具體的攻擊特徵。例如:發現來自某 IP 範圍的 DDoS 攻擊正在醞釀中。
Technical (技術型)
For: 防火牆, IDS/IPS, SIEM (自動化)
原子級別的指標,有效期短,通常自動匯入設備。例如:惡意 IP 清單、惡意檔案 Hash 值 (MD5/SHA)、惡意 URL。
Indicators of Compromise (IoC)
關鍵問題:發生了什麼? (What happened?)
IoC 是指在系統或網路中發現的證據,顯示系統已經遭受入侵。這些是「鑑識數據 (Forensic Data)」。
# Examples:
> 惡意軟體的 MD5/SHA256 Hash 值
> 已知的 C2 (Command & Control) 伺服器 IP
> 異常的 Registry 修改紀錄
> 防毒軟體的簽章偵測紀錄
Indicators of Attack (IoA)
關鍵問題:正在發生什麼? (What is happening?)
IoA 關注的是攻擊者的意圖與行為。無論攻擊者使用什麼工具,他們的行為模式可能不變。這有助於在攻擊初期就進行偵測。
# Examples:
> 來自內網的持續性 Port Scanning
> 下班時間的異常登入嘗試
> PowerShell 執行編碼過的指令 (Obfuscated scripts)
> 數據庫伺服器主動對外發起連線
痛苦金字塔 (The Pyramid of Pain)
概念解析
由 David Bianco 提出。這個金字塔展示了各類指標對攻擊者而言「修改的痛苦程度」。
- Hash Values: 攻擊者只需更改文件一個 bit 就能改變 Hash,非常容易繞過防禦。
- IP / Domains: 攻擊者可以輕易更換 IP 或註冊新域名。
- TTPs (Tactics, Techniques, Procedures): 這是攻擊者的行為習慣與知識體系。要改變這一點,攻擊者必須重新學習、重新設計工具與流程,代價極高。因此防禦者若能針對 TTPs 進行防禦,效果最佳。
TACTICAL SIMULATION
TEST YOUR KNOWLEDGE: MODULE 19