威脅情資平台(Threat Intelligence Platform)[1] 是指一種技術解決方案，
可從多種來源和格式收集、匯總和組織威脅情報。

威脅情資平台從 OSINT 來源，
例如 AlienVault OTX 來收集威脅指標(IoC)，
透過黑箱子演算法計算威脅分數。

OSINT 來源有很多：

• 其他威脅情資平台
• 開源情報分享
• 商業情資(花錢買的)
• 威脅報告書(資安廠商提供），而且可信度較高
• 部落格
• 暗網

目的是讓訂閱者與資安分析師能夠從這些資料中進一步分析關聯性。
另一點是實現真正的共享威脅，
例如 https://hisac.nat.gov.tw/ 衛生福利部資安資訊分享與分析中心，
常會分享一些針對一些威脅做公告，
之前我有做一個研究，
結論大概是勒索軟體是醫療產業最容易受到的攻擊，
不過...，
真正在分享的資訊似乎只有醫療機構才能接收到，
一般民眾看到的資訊非常少。

威脅情資平台評量標準

我們可以根據幾個指標選擇自己喜歡的情資平台訂閱，
通常都會訂閱多個來源來關聯一些事實，
雖然說不是絕對，
但可以作為選擇採購哪家平台的衡量標準之ㄧ。

• 匯入/匯出格式: 通常 STIX 應該是大部分都有，如果要串接其他 ISAC 平台就要考慮輸入跟輸出，或資料分析也需要。
• 整合能力：這裡指的是連不能串接 SIEM 或資安設備(IPS or IDS)，或是 TIG (Threat Intelligence Gateway)
• 共同協作：授權每個使用者可以做不同的事情
• 分析能力：威脅分數計算或用這平台能不能關聯到事件
• 可視化分析介面：比如說，分析完的結果，能快速找出多個 OSINT 之間組合出的哪個組織使用什麼工具，攻擊什麼單位。
• 硬體要求：像是 MISP 其實蠻小的配置就跑得動，我配 OpenCTI 都給到 8 核 16G RAM，還是會當機給我看...（實測大概是八萬個Entity就會這樣）

另外我的電腦配置是：

• Intel Core i7-10700
• 32.0 GB Memory
• Ubuntu 20.04
• 都用 Docker 裝

小結

今天討論了威脅情資平台，明天就拿 openCTI 開刀。

Reference

[1] H. Sonwani, M. Divya, A. Dhawan, A. Mantri, D. G and H. Kumar, "A Comprehensive Study on Threat Intelligence Platform," 2022 International Conference on Communication, Computing and Internet of Things (IC3IoT), 2022, pp. 1-5, doi: 10.1109/IC3IOT53935.2022.9767985.