1.1　網絡威脅情報概述

本書的目的不在于深入探討情報的不同定義和情報理論的多個方面的復雜問題，而是介紹情報流程[1]，以便在介紹網絡威脅情報（Cyber Threat Intelligence，CTI）驅動的威脅獵殺和數據驅動的威脅獵殺之前，對CTI以及如何利用CTI流程有所了解。如果你對這些很熟悉，則可以直接跳過這一章。

如果要討論情報學科的根源，我們可能可以追溯到19世紀，當時成立了第一個軍事情報部門。我們甚至可以認為情報實踐和戰爭一樣古老，人類歷史上有很多間諜故事，因為對戰雙方都想要占據上風。

一再有人說，要有軍事優勢，不僅要了解自己，還要了解敵人：他們怎么想？他們有多少資源？他們有多少武裝力量？他們的最終目標是什么？

這種軍事需求（特別是在兩次世界大戰期間）導致了我們所知的情報領域的演變和發展。已經有很多關于這方面的書和論文，如果你對這方面感興趣的話，建議訪問中央情報局（CIA）圖書館（https://www.cia.gov/library/intelligence-literature）的情報文獻部分，在那里你可以找到幾個關于這個主題的有趣講座。

20多年來，精通這一領域的人們就情報的定義不斷地進行著學術討論。不幸的是，關于情報實踐的定義仍沒有達成共識。事實上，有些人認為情報技術是可以描述但不能定義的東西。在本書中，我們將摒棄這種悲觀的觀點，并參考艾倫·布雷克斯皮爾（Alan Breakspear）在其論文“A New Definition of Intelligence”（2012年）中提出的定義：

情報是一種能夠表征企業及時預測變化并采取行動的能力。這種能力包括遠見性和洞察力，旨在識別即將發生的變化，而這些變化可能是積極的，代表著機會，也可能是消極的，代表著威脅。

基于此，我們將CTI定義為網絡安全中試圖成為計算機和網絡安全的一種主動措施的一門學科，自傳統情報理論中發展而來。

CTI專注于數據收集和信息分析，能夠讓我們更好地了解組織面臨的威脅，這有助于我們保護資產。任何CTI分析師的目標都是生成并提供相關、準確和及時的經過精心策劃的信息——情報，以便接收情報的組織能夠了解如何保護自己免受潛在威脅。

匯總所有相關數據產生的信息，通過分析將其轉化為情報。然而，正如我們前面所說的，情報只有在相關、準確的情況下才有價值，最重要的是，它是否按時交付。情報的目的是為那些負責決策的人服務，這樣他們就可以在知情的情況下進行決策。如果在必須做出決策前沒有交付，那么情報就沒有價值了。

這意味著，當談論情報時，我們不僅指情報本身，還指使情報成為可能的所有過程。本章將詳細介紹這一點。

最后，我們既可以根據專門研究某一特定課題的時間將情報分為長期情報和短期情報，也可以根據情報的形式將情報分為戰略情報、戰術情報或者運營情報。在第二種情況下，交付的情報會有所不同，這取決于它的具體接收人。

[1] 情報流程指從情報需求計劃、收集等到處理、最終評價、反饋等的情報生命周期流程。——譯者注

1.1.1　戰略情報

戰略情報為最高決策者提供信息，最高決策者包括CEO（首席執行官）、CFO（首席財務官）、COO（首席運營官）、CIO（首席信息官）、CSO（首席安全官）、CISO（首席信息安全官），以及需要這些信息的其他高管。戰略情報必須幫助決策者了解他們面臨的威脅。決策者應該正確地認識到威脅的主要能力和動機（中斷、竊取專有信息、經濟收益等），自身成為目標的可能性，以及由此可能產生的后果。

1.1.2　運營情報

運營情報主要提供給那些負責日常決策的人，也就是那些負責確定優先事項和分配資源的人。為了讓他們更有效地完成這些任務，情報團隊應該向他們提供有關哪些組織可能針對該組織以及哪些組織最近最活躍的信息。

可交付信息可能包括CVE和有關潛在威脅使用的策略以及技術的信息。例如，這些信息可以用來評估為某些系統打補丁或增加能夠阻礙訪問這些系統的新安全層及其他事項的緊迫性。

1.1.3　戰術情報

戰術情報應該交付給那些需要即時信息的人。接收者應該完全了解他們需要注意對手的哪些行為，才能識別可能針對組織的威脅。

在這種情況下，可交付信息可能包括IP地址、域和URL、散列值、注冊表鍵、電子郵件工件等。例如，這些信息可用于為告警提供上下文，并評估是否值得讓事件響應（Incident Response，IR）團隊參與。

到目前為止，我們已經定義了有關情報、CTI和情報級別的概念，但是對于網絡領域的“威脅”這個術語，又該怎么理解呢？

我們將威脅定義為有可能利用漏洞并對實體的運營、資產（包括信息和信息系統）、個人和其他組織或社團產生負面影響的情況或事件。

可以說，網絡威脅情報主要關注的領域是網絡犯罪、網絡恐怖主義、黑客主義和網絡間諜活動。所有這些有關團體都可以粗略地定義為利用技術滲透到公共和私人組織及政府中，竊取專有信息或對其資產造成損害的有組織的團體。但是，這并不意味著其他類型的威脅，如罪犯或內部人員，不在關注范圍內。

有時，威脅行為體（threat actor）和高級持續性威脅（Advanced Persistent Threat，APT）這兩個術語可以互換使用，但事實是，盡管我們可以說每個APT都是威脅行為體，但并不是每個威脅行為體都是高級的或持續性的。APT與威脅行為體的不同之處在于其高度的操作安全（OPerational SECurity，OPSEC），以及低檢測率和高成功率。需要注意的是，這可能并不完全適用于所有APT組織。例如，有些組織會大肆宣揚其發起的攻擊事件，因此它們無須在保持隱蔽方面投入太多。

要生成有價值的情報，重要的是使用明確定義的概念，方便你組織數據和生成信息。選擇現有術語并非強制性要求，但為了促進威脅情報的標準化和共享，MITRE公司已經開發出結構化威脅信息表達式（Structured Threat Information eXpression，STIX）（https://oasis-open.github.io/cti-documentation/）。

因此，如果我們遵循STIX的定義（https://stixproject.github.io/data-model/），威脅行為體就是“被認為懷有惡意進行操作的實際個人、團體或組織”。任何威脅行為體都可以根據以下任意一項定義：

●類型（https://stixproject.github.io/data-model/1.1/stixVocabs/ThreatActorTypeVocab-1.0/）。

●動機（https://stixproject.github.io/data-model/1.1/stixVocabs/MotivationVocab-1.1/）。

●復雜度（https://stixproject.github.io/data-model/1.1/stixVocabs/ThreatActorSophistication-Vocab-1.0/）。

●預期效果（https://stixproject.github.io/data-model/1.1/stixVocabs/IntendedEffectVocab-1.0/）。

●參與的行動。

●戰術、技術和程序（Tactics，Techniques，Procedures，TTP），見https://stixproject.github.io/data-model/1.2/ttp/TTPType/。

總而言之，網絡威脅情報可作為一種工具，用來更好地洞察威脅行為體的興趣和能力，應該讓所有參與保護和指導組織的團隊知道。

要生成良好的情報，有必要定義一組正確的要求，以了解組織的需求。一旦完成這第一步（需求定義），我們就可以確定團隊應該關注的威脅的優先順序，并開始監控那些可能將組織作為其目標的威脅行為體。避免收集不必要的數據能夠讓我們分配更多的時間和資源在重點威脅上，并將重點放在組織面臨的更緊迫的威脅上。

正如凱蒂·尼克爾斯（Katie Nickels）在她的報告“The Cycle of Cyber Threat Intelligence”（2019年，https://www.youtube.com/watch?v=J7e74QLVxCk）中所說的那樣，CTI團隊將受其所處位置的影響，因此將其放在組織結構的中心位置將有助于團隊支持不同的功能，如圖1.1所示。

圖1.1　CTI團隊的中心角色

現在，我們來看一下情報周期。