iT邦幫忙

2022 iThome 鐵人賽

DAY 2
0
Security

威脅情資分析與挑戰系列 第 2

[Day 2] 威脅情資概述 - OSINT 工作流程

  • 分享至 

  • xImage
  •  

大數據本身是沒有價值的,但是在使用數據分析或數據挖掘等新興技術後,可以發現資料之間的複雜關聯性,從而實現探索「發生什麼事」、「為什麼會發生」、「未來會發生什麼」、「怎麼應對」等問題,探究這些問題也非常有趣。

例如,有人說家境不好時,吃海鮮都是非常奢侈的事情。我們秉持著使用開源情報來驗證其可信度,就可以找出相關的證據來豐富化或提升該情報的價值。這跟今天的主題「OSINT的工作流程」不謀而合,當某人某事某物在某個時間點釋出了消息,大家會透過收集與其相關的訊息,可能從我們上一篇討論的來源處,例如新聞、臉書、各個網站抓到非常多非結構化的訊息,經過人為的過濾、整理等,從之分析出這個消息是否為「真」。

在資料處理上,結構化的資料處理起來會相對輕鬆多,這也是大家常說太多資料時,看懶人包就可以理解事件的大概全貌,但是結構化的資料,部分也是從凌亂的資料中提取整理,自然會捨棄一些資訊,也有可能會喪失一些關鍵訊息,導致「帶風向」或「誤報」等情況。同樣的開源情報(OSINT)捕捉到的資料可能是非結構化的資訊或是基於STIX格式的結構化資料,如下圖所示,該資料擷取自AlienVault[1]。

非結構化資料
Iranian hackers have been infiltrating the networks of financial and energy companies across the Middle East, according to new research by security firm FireEye, and are believed to be linked to the country's government.
結構化資料
{
  "id": "bundle--3cee7411-df6f-4544-b766-0134d0ad36cf",
  "objects": [
    {
      "created": "2022-09-06T04:39:56.884Z",
      "created_by_ref": "identity--ab072f15-9b87-4ee1-898f-b584d41f29b0",
      "description": "Iranian hackers have been infiltrating the networks of financial and energy companies across the Middle East, according to new research by security firm FireEye, and are believed to be linked to the country's government.",
      "id": "report--3cee7411-df6f-4544-b766-0134d0ad36cf",
      "labels": [
        "threat-report"
      ],
      "modified": "2022-09-06T04:39:56.884Z",
      "name": "APT 34 Is an Iran-Linked Hacking Group That Probes Critical Infrastructure | WIRED",
      "object_refs": [
        "identity--ab072f15-9b87-4ee1-898f-b584d41f29b0",
        "indicator--551c8ed5-be29-4eea-a582-89a52dea32ed"
      ],
      "published": "2022-09-06T04:39:56.884Z",
      "spec_version": "2.1",
      "type": "report"
    }
  ],
  "spec_version": "2.1",
  "type": "bundle"
}

回來探討 OSINT 的工作流程,主要分成三個部分:

  • 收集 (Collection)
  • 分析 (Analysis)
  • 知識提取 (Knowledge Extraction)

收集

收集的過程特別重要,從高可信度的來源獲取的資料普遍較為優越,一般人會相信路人隨便提到的十句話,還是相信陪伴幾十年女朋友說的一句話呢? 在情報來源中,我們普遍會相信具有可信度的單位提供的資料,根據 Md 等人的統計[2],大部分威脅情資來自於資安廠商或資安研究單位提供的威脅報告書、論壇、部落格、系統日誌或是暗網等,而高價值情報不外乎是資安廠商提供的威脅報告,因為該情報的品質會嚴重影響該廠商的商譽,誰會跟錢過意不去兒砸了自己的招牌呢?

從收集資料的策略上,我們可以提出一些目標,比如為了什麼而收集什麼樣的問題,像是想要投一些期刊,我們可能會調查該期刊的影響力、IF(Impact Factor)點數、接受率等,或是想要吃一些燒烤店,我們會搜尋有哪些網友推薦的燒烤店之類的。我們會在下一篇主題中,探討 OSINT 的收集工具有哪些。

分析

分析可以理解資訊中代表的意義,例如語意分析(semantic analysis)、社群分析等,簡單說明如下,依據目的可以分成三類,個人資訊、組織資訊以及網路資訊。

語意分析

語意分析能透過文章的關鍵字或重要的詞彙找出一些代表整篇文中的重點,或是作為自然語言處理的標準應用,我們也可以分析一些生活上的大小事,像是「當你問另一半想吃什麼,他說隨便的時候」,這時我們就必須考慮到前後文,前面在路上可能另一半看著燒烤店跟你說隨便,或是根據當下的一切可能因素,節日、天氣、氣氛、周圍食物的香味等,都是參考的因素,如同 OSINT , 我們必須考量到所有可能的情報來分析其中的意義,來產生有價值的情報。

社群分析

就是對社群媒體網站進行分析,參考的不只是每個人的發文,而是圍繞在一個主題上,與之相關的聯繫人、地點、行為或一些關鍵字,我們可以透過 Google Trend 來常看現在社群討論最熱烈的幾個排名。

知識提取

經過初步分析的資料還能進一步利用人工智慧技術來關聯或聚合,例如調查喜歡貓咪的人是不是有共通點?某個社群常發布一些梗圖,突然哪些開始散佈一些假訊息,我們能透過過去的歷史發文來回推不合理的地方。

在威脅情報中,我們能透過一些瑣碎的情報,例如:

  1. B 組織常使用 A 工具進行攻擊。
  2. 某醫院常被 A 工具入侵系統。
  3. 我喜歡貓咪,毛茸茸的。
  4. 在某國常有 B 組織活躍的訊息。

我們就根據相關性來推論出,在某國B組織可能使用A工具來攻擊某單位醫院的結論。

小結

今天我們談論了一個簡單的 OSINT 工作流程,下一篇,我們會討論 OSINT 的收集工具,來加速獲取資料的速度,為往後資料分析奠定了基礎。

Reference

[1] AlienVault.(2022).APT 34 Is an Iran-Linked Hacking Group That Probes Critical Infrastructure | WIRED
.https://otx.alienvault.com/pulse/6316cf1c956a22e93f7e73a1
[2] Md Rayhanur Rahman, Rezvan Mahdavi-Hezaveh, Laurie Williams ,”A Literature Review on Mining Cyberthreat Intelligence from Unstructured Texts”, 2020 International
Conference on Data Mining Workshops (ICDMW), 2020 (DOI: 10.1109/ICDMW51313.2020.00075)


上一篇
[Day 1] 威脅情資概述 - OSINT 來源
下一篇
[Day 3] 威脅情資概述 - OSINT 工具
系列文
威脅情資分析與挑戰15
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言