EC-Council CND 網路防禦課程

Module 20: Threat Prediction with Cyber Threat Intelligence
INSTRUCTOR: CND DEFENSE EXPERT

// 模組概觀 (Module Overview)

在傳統的網路安全防禦中,我們往往處於「被動」狀態:等待攻擊發生,然後進行回應。Module 20 的核心在於轉變這種思維,透過 Cyber Threat Intelligence (CTI, 網路威脅情資) 來實現「主動防禦」。


身為防禦者 (Defender),我們不僅要防守,更要「預測」。這需要將原始的數據 (Data) 轉化為資訊 (Information),最終提煉成可採取行動的情報 (Intelligence)。本章節將帶領學員深入了解 CTI 的生命週期、不同層次的情報應用,以及如何利用 IoC (入侵指標) 與 IoA (攻擊指標) 來強化防禦縱深。

核心防禦概念 (Core Concepts)

01. 數據 vs 資訊 vs 情報

在 CTI 的領域中,區分這三者至關重要:

  • Data (數據): 原始的、未經處理的事實。例如:防火牆日誌中的一串 IP 位址、Hash 值。
  • Information (資訊): 經過整理、具備上下文 (Context) 的數據。例如:該 IP 位址來自某個已知的惡意殭屍網路,且在上班時間頻繁連線。
  • Intelligence (情報): 經過分析,能支持決策與行動的產出。例如:該殭屍網路正針對金融業進行 DDoS 攻擊,我們應立即阻擋該網段並調整 IDS 規則。

02. 威脅情資的四個層次

層次 (Type) 目標受眾 (Audience) 內容範例
Strategic (戰略型) CISO, 高階管理層 攻擊趨勢分析、財務衝擊評估、歸因 (Attribution)。
Tactical (戰術型) IT 經理, SOC 架構師 攻擊者的 TTPs (戰術、技術與程序)、惡意軟體行為模式。
Operational (作戰型) SOC 分析師, 應變團隊 具體的攻擊活動細節、即將發生的攻擊預警。
Technical (技術型) 防火牆/IDS 設備 IoCs (IPs, URLs, Hashes) - 壽命最短,可自動化匯入。

03. IoC vs IoA

這是藍隊防禦的關鍵指標:


Indicators of Compromise (IoC)

定義: 證據顯示「入侵已經發生」。

用途: 用於鑑識與清理。例如:惡意軟體的 Hash 值、已知的 C2 伺服器 IP、被竄改的 Registry Key。


Indicators of Attack (IoA)

定義: 跡象顯示「攻擊正在進行」或「意圖發動攻擊」。

用途: 用於早期預警與主動防禦。關注的是攻擊者的意圖與行為,而非靜態特徵。例如:在非上班時間的異常登入嘗試、PowerShell 執行編碼過的指令。

04. 痛苦金字塔 (Pyramid of Pain)

這是一個衡量「防禦措施對攻擊者造成多少痛苦」的模型:

  • Hash Values (最底層): 最容易獲取,但也最容易被攻擊者改變 (重新編譯即可)。對攻擊者無痛苦。
  • IP Addresses: 容易封鎖,但攻擊者可輕易更換代理。
  • Domain Names: 稍微麻煩一點,需要重新註冊。
  • Network/Host Artifacts: 攻擊工具留下的特徵 (如 User-Agent)。
  • Tools: 迫使攻擊者重新開發工具,相當痛苦。
  • TTPs (最頂層): 改變戰術、技術與程序。這需要攻擊者重新訓練與設計攻擊鏈,對其造成最大痛苦
戰術模擬測驗 (Tactical Simulation)

指令:閱讀下列情境,選擇最佳的防禦策略或技術解釋。點擊選項即可查看即時戰術分析。

Q1 情境:作為 SOC 分析師,你收到一份報告,列出了特定的 IP 地址、惡意域名和檔案 Hash 值。這些資訊可以直接匯入防火牆進行阻擋。請問這屬於哪一層次的威脅情資?
A. Strategic Intelligence (戰略情資)
B. Technical Intelligence (技術情資)
C. Tactical Intelligence (戰術情資)
D. Operational Intelligence (作戰情資)
Q2 情境:在「痛苦金字塔 (Pyramid of Pain)」模型中,哪一種指標對防禦者來說最有價值,因為一旦被偵測並阻擋,會迫使攻擊者必須徹底改變其行為模式與攻擊方法?
A. Hash Values
B. IP Addresses
C. Domain Names
D. TTPs (Tactics, Techniques, and Procedures)
Q3 情境:你的團隊發現內部網路中有一台主機正試圖使用 PowerShell 執行一段經過 Base64 編碼的可疑指令,這並不符合該主機的正常業務行為。這是一個什麼樣的指標?
A. Indicator of Attack (IoA)
B. Indicator of Compromise (IoC)
C. Vulnerability Assessment Result
D. Risk Matrix Indicator
Q4 情境:CISO 要求你提供一份報告,說明特定駭客組織 (如 APT29) 的動機、過去針對同產業的攻擊趨勢,以及對公司未來一年的潛在財務影響。這屬於哪種情資?
A. Strategic Intelligence
B. Operational Intelligence
C. Technical Intelligence
D. Tactical Intelligence
Q5 情境:為了促進不同組織間自動化交換威脅情資,OASIS 開發了標準化的語言與傳輸協議。請問下列哪一個組合是用來「定義情資結構」與「傳輸情資」的?
A. JSON and REST
B. STIX and TAXII
C. CVE and CVSS
D. SIEM and SOAR
Q6 情境:你正在分析一個受感染的端點,發現了一個名為 "malware.exe" 的檔案,其 SHA-256 Hash 值為 "e3b0c442..."。這個 Hash 值被視為:
A. Indicator of Attack (IoA)
B. Indicator of Compromise (IoC)
C. TTP (Tactics, Techniques, Procedures)
D. APT (Advanced Persistent Threat)
Q7 情境:網路管理員希望訂閱一個開源的威脅情資來源,該平台允許使用者分享、關聯和下載各種惡意指標 (Pulses)。下列哪個平台最符合此描述?
A. Wireshark
B. Nmap
C. AlienVault OTX
D. Metasploit
Q8 情境:在 Cyber Kill Chain (網路殺傷鏈) 的哪個階段,攻擊者會試圖將帶有惡意負載 (Payload) 的媒介 (如釣魚郵件或 USB) 傳送給目標?
A. Reconnaissance
B. Weaponization
C. Delivery
D. Exploitation
Q9 情境:公司決定採用 MISP (Malware Information Sharing Platform)。這個平台的主要功能是什麼?
A. 執行即時防毒掃描
B. 儲存與共享威脅情資 (Threat Intelligence Sharing)
C. 進行自動化滲透測試
D. 管理使用者身份認證
Q10 情境:防禦團隊正在分析攻擊者使用的「與其基礎設施相關的技術特徵」,例如特定的 User-Agent 字串或特殊的通訊協議標頭。在痛苦金字塔中,這屬於哪一層?
A. Hash Values
B. Network/Host Artifacts
C. TTPs
D. IP Addresses