1.5　處理與利用

一旦收集到數據，就必須對其進行處理和利用，以將其轉化為情報。提供的IOC必須帶有上下文信息，其相關性和可靠性也必須得到評估。

解決這一問題的一種方法是將數據拆分成桶（bucket），并利用可用的框架來尋找模式。

我們將快速回顧三個最常用的情報框架：Cyber Kill Chain?（網絡殺傷鏈）、鉆石模型和MITRE ATT&CKTM框架（詳見第4章）。

1.5.1　網絡殺傷鏈

由洛克希德·馬丁（Lockheed Martin）公司開發的Cyber Kill Chain?是一種識別威脅行為體為實現其目標應遵循的步驟的方法。

它有七個不同的步驟：

1）偵察：使用非侵入性技術了解受害者。

2）武器化：生成要交付的惡意有效載荷。

3）交付：交付武器化的工件。

4）利用：利用漏洞在受害者系統上執行代碼。

5）安裝：安裝最終的惡意軟件。

6）命令與控制（C2）：在受害者系統上建立與惡意軟件通信的通道。

7）對目標采取行動：通過完全訪問和通信，攻擊者可以實現其目標。

有人批評這個模型（見圖1.6）不足以描述一些現代攻擊的工作方式，但與此同時，它也因界定了可以阻止攻擊的點而受到稱贊。

圖1.6　洛克希德·馬丁公司的Cyber Kill Chain?

1.5.2　鉆石模型

鉆石模型為我們提供了一種跟蹤入侵事件的簡單方法，因為它能幫助我們確定入侵事件所涉及的原子元素。它包括四個主要特征：對手、基礎設施、能力和受害者。這些特征通過社會政治和技術軸線聯系在一起，如圖1.7所示。

圖1.7　鉆石模型

1.5.3　MITRE ATT&CK框架

MITRE ATT&CK框架是一個描述性模型，用于標記和研究威脅行為體為了在企業環境、云環境、智能手機甚至工業控制系統中站穩腳跟和操作而能夠執行的活動。

ATT&CK框架的魔力在于它為網絡安全社區提供了一個通用的分類法來描述對手的行為。它可以作為一種共同語言，進攻性和防御性研究人員都可以使用它來更好地理解對方，并與該領域的非專業人員進行交流。

最重要的是，你不僅可以在你認為合適的時候使用它，而且還可以在它的基礎上自己構建一套戰術、技術和程序（TTP）。

14種戰術被用來涵蓋不同的技術集。每種戰術都代表一個戰術目標，也就是威脅行為體表現出特定行為的原因。每種戰術都由一組描述特定威脅行為體行為的技術和子技術組成。程序是威脅行為體實現特定技術或子技術的具體方式。一個程序可以擴展為多種技術和子技術，如圖1.8所示。

現在，我們來看偏見與分析。

圖1.8　企業矩陣