威脅情報

定義

1. 威脅情報是組織用來了解目前或未來可能面臨威脅的資訊
2. 威脅情報可以幫助資安團隊
   • 建立更好的防禦措施
   • 降低網路風險
   • 協助監控網路是否有任何危害跡象
   • 以利團隊能盡快移除惡意攻擊者

與傳統資安防護的區別

威脅情報是一種更具針對性、主動性和情境感知的資安防禦方式，可以幫助組織更有效地應對日益複雜的網路威脅。

針對性

• 威脅情報具有針對性
  • 威脅情報著重於提供更複雜威脅的資訊
    • 進階持續性威脅 (APT)
    • 零時差漏洞
    • 全球惡意軟體行為
  • 幫助企業組織了解
    • 是誰（或可能是誰）在攻擊他們
    • 攻擊動機
    • 使用的策略
  • 了解之後可以在
    • 滲透測試和紅隊演練複製策略
    • 採取防禦措施來阻止或減緩攻擊者
• 比較傳統資安防護方法
  • 傳統資安防護方法較長使用通用安全措施
    • 防火牆
    • 防毒軟體
    • 入侵偵測系統
  • 目的
    • 防禦廣泛的威脅
    • 可能無法有效應對針對特定組織的複雜攻擊

主動性

• 威脅情報具有主動性
  • 威脅情報強調主動防禦
    • 透過收集和分析威脅資訊
    • 組織能預測潛在的攻擊
    • 組織能攻擊發生之前採取必要的預防措施
  • 例如
    • 如果威脅情報顯示某個駭客組織正在計劃針對金融業發動攻擊，銀行就可以加強其安全措施，並提高員工對網路釣魚攻擊的警覺性。
• 比較傳統資安防護方法
  • 更偏重於被動防禦
  • 通常在攻擊發生後才採取應對措施
    • 可能會導致更大的損失

情境感知

• 威脅情報具有情境感知
  • 威脅情報可以為資安事件提供更多的背景資訊
    • 幫助組織更有效地做出決策
  • 例如
    • 如果一個組織發現其網路中存在一個惡意 IP 位址，威脅情報可以幫助他們確定該 IP 位址是否與已知的駭客組織相關聯，以及該組織過去使用的攻擊方法。
    • 這些資訊可以幫助組織採取更有效的應對措施，例如封鎖相關的 IP 位址和端口，並加強針對特定攻擊方法的防禦。
• 比較傳統資安防護方法
  • 常缺乏這種情境感知能力
  • 難以根據威脅的具體情況調整防禦策略

威脅情報的應用場景及優勢

威脅情報在網路安全中有多種具體應用場景，並能解決傳統資安防護方法無法解決的問題。

應用場景

• 網路威脅背景資訊
  • 威脅情報可以深入研究現有威脅
  • 協助企業準確地確定自己成為攻擊目標的可能性
  • 並採取積極的防禦措施來降低風險
• 事件優先排序
  • 同時發生多個資安事件
  • 威脅情報可以協助組織有效地分配資源
  • 根據攻擊者的背景資訊和攻擊指標 (IOC)
    • 來判斷事件處理的優先順序
• 調查充實
  • 威脅情報可以藉由提供背景資訊來加強調查工作
  • 例如
  • 當發現某個 IP 位址在掃描組織的網路時，威脅情報可以幫助判斷該 IP 是否與已知的 APT 組織有關，從而決定是否需要進一步調查。
• 資訊分享
  • 威脅情報可以促進組織之間的資訊分享
    • 例如
    • 分享惡意軟體分析
    • 攻擊指標 (IOC)
    • 應對策

解決傳統資安防護方法無法解決的問題

• 難以預測未來威脅
  • 傳統資安防護方法
    • 主要依賴已知威脅的特徵碼進行防禦，
    • 難以應對未知威脅
  • 威脅情報可以透過
    • 分析
      • 攻擊者的行為模式
      • 攻擊手法
      • 攻擊動機
    • 預測
      • 未來可能出現的威脅
      • 並提前採取防禦措施
• 難以提供更全面的防禦
  • 傳統資安防護方法
    • 側重於技術層面的防禦
  • 威脅情報可以提供更全面的防禦
    • 技術、管理和營運與防禦等多個層面
    • 威脅情報可以協助組織
    • 制定更有效的安全策略
    • 優化資安防禦流程
    • 提升員工的安全意識
• 提高投資回報率
  • 傳統資安防護方法
    • 需要投入大量的資金和人力資源
    • 但效果不一定理想
  • 威脅情報可以
    • 協助組織將有限的資源集中
    • 用於防禦最可能出現的威脅
    • 從而提高安全投資回報率

為什麼藍隊成員需要學習威脅情報

1. 了解威脅、提升風險應對能力

• 深入了解威脅參與者
  • 藍隊成員可以透過學習威脅情報，深入了解潛在威脅參與者的背景、動機、目標、策略、技術和流程（TTPs）。
  • 這些資訊有助於藍隊成員更好地預測和理解攻擊者的行為，從而更有效地防禦攻擊。
• 識別和應對進階持續性威脅（APT）
  • 威脅情報能幫助藍隊成員識別和分析 APT 等複雜威脅。
  • APT 攻擊通常經過精心策劃和隱蔽執行，傳統的安全措施難以察覺。
  • 透過威脅情報，藍隊成員可以早一點發現 APT 攻擊的跡象，並採取適當的措施進行防禦。
• 掌握最新的攻擊趨勢
  • 網路威脅環境不斷變化，新的攻擊技術和手法層出不窮。
  • 學習威脅情報可以讓藍隊成員隨時了解最新的攻擊趨勢、漏洞資訊和威脅情報指標（IOCs），從而保持應對新興威脅的能力。

2. 優化安全策略、提升防禦效率

• 制定更有效的防禦策略
  • 威脅情報可以幫助藍隊成員制定更有效的安全策略。
  • 透過了解潛在的威脅和攻擊者的 TTPs，藍隊成員可以更有針對性地部署安全措施
    • 例如
      • 加強特定系統的防護
      • 監控關鍵網路流量
      • 實施更嚴格的身份驗證策略
• 確定資安工作重點
  • 面對有限的資源和時間，藍隊成員需要確定資安工作的重點。
  • 威脅情報可以幫助他們評估不同威脅的風險等級，並優先處理高風險威脅，將資源集中在最關鍵的防禦領域。
• 提升事件響應效率
  • 當資安事件發生時，時間至關重要。
• 威脅情報可以幫助藍隊成員更快地了解事件的性質和嚴重程度，並提供應對措施的建議，從而縮短事件響應時間，最大程度地減少損失。

3. 加強資訊分享、促進團隊合作

• 建立威脅情報分享機制
  • 學習威脅情報可以幫助藍隊成員建立起組織內部的威脅情報分享機制，以及與其他組織進行情報交流
  • 透過即時分享威脅情報，藍隊成員可以共同應對威脅，提升整體防禦能力
• 促進團隊合作
  • 威脅情報的分析和應用需要多個團隊的協同合作
    • 例如
      • SOC Team
      • 事件回應小組或部門
      • 風險管理團隊
  • 學習威脅情報可以促進這些團隊之間的溝通和合作，共同提升組織的整體安全水準

4. 提升個人技能、拓展職業發展空間

• 成為更全面的網路安全人才
  • 學習威脅情報可以讓藍隊成員的技能更加全面
• 拓展職業發展空間
  • 隨著網路安全形勢日益嚴峻，市場對具備威脅情報專業技能的人才需求不斷增加
  • 學習威脅情報可以為藍隊成員創造更多職業發展機會
    • 例如
      • 威脅情報分析師
      • 資訊安全研究員
      • 資訊安全顧問

威脅情報的學習路徑與重要知識點和技能

1. 奠定網路安全基礎

• 學習基本的網路安全概念
  • 網路拓撲
  • 作業系統
  • 常見攻擊類型（例如：DDoS、網路釣魚）
  • 常見防禦措施（例如：防火牆、入侵偵測系統）
• 熟悉基本的資安工具
  • 掃描工具（例如：Nmap）
  • 弱點掃描工具（例如：Nessus）
  • 資安與事件管理系統（SIEM）

2. 了解威脅情報基本概念

• 學習威脅情報的定義、類型
  • TTPs 戰略情報、戰術情報、操作情報
• 學習威脅情報的生命週期
  • 規劃與方向、收集、處理、分析、傳播、回饋
• 學習威脅情報應用場景
  • 分析威脅背景資訊
  • 資安事件優先排序、調查方法、資訊分享
• 區分威脅情報與傳統資安防護方法的差異
  • 理解威脅情報更注重主動性、針對性和情境感知能力

3. 掌握威脅情報收集和分析技術

• 學習不同的情報來源類型與如何從這些來源收集資訊
  • 公開來源情報（OSINT）
  • 訊號情報（SIGINT）
  • 地理空間情報（GEOINT）
  • 人員情報（HUMINT）
• 熟悉常用的威脅情報平台和工具
  • MISP（一個開源的威脅情報平台）
  • 各種開源威脅情報來源
  • 如何使用這些工具進行威脅情報的收集、處理和分析
• 學習如何識別和分析威脅指標（IOC）
  • 惡意IP地址、域名、檔案雜湊值
  • 根據威脅指標的關聯性和信任度進行評估
• 學習如何分析威脅行為模式
  • 攻擊者的戰術、技術和步驟（TTPs）
  • 使用相關框架進行分析和歸類
    • 網路阻殺鏈（Cyber Kill Chain）
    • MITRE ATT&CK 框架

4. 應用威脅情報提升安全防禦能力

• 學習如何將威脅情報應用於實際的安全操作中
  • 制定安全策略
  • 進行威脅建模
  • 優化安全防禦措施
  • 進行事件回應和調查
• 學習如何撰寫威脅情報報告
  • 定義報告受眾：資安分析師或高階管理層
  • 調整報告內容和風格（技術術語與白話溝通）

5. 持續學習與參考資源

• Github 資源
  • Awesome Threat Intelligence
    • https://github.com/hslatman/awesome-threat-intelligence
  • Awesome Threat Detection
    • https://github.com/0x4D31/awesome-threat-detection
  • Awesome OSINT
    • https://github.com/jivoi/awesome-osint

總結

威脅情報是一種能夠主動、針對性、情境感知地幫助組織應對現代網路威脅的資安防禦方式。它透過了解攻擊者的策略和行為模式，協助企業建立有效的防禦措施、優化資源分配、並迅速應對安全事件。威脅情報不僅在提升藍隊的技術力方面扮演關鍵角色，還能透過分享機制促進組織間的合作，為藍隊成員提供更具競爭力的職業發展機會。藍隊成員透過學習威脅情報，可以掌握最新的攻擊趨勢，進而制定更有效的安全策略。

小試身手

1. 威脅情報最具特色的能力之一是什麼？
   A) 被動防禦
   B) 針對性防禦
   C) 一般安全規則制定
   D) 避免社交工程攻擊
   解析： 答案為 B，威脅情報強調針對性防禦，針對特定的攻擊者和攻擊方法進行防禦。

2. 威脅情報可以幫助企業如何提升防禦效率？
   A) 幫助企業制定與所有威脅無關的政策
   B) 幫助企業主動應對潛在威脅
   C) 降低安全投資
   D) 僅依賴已知威脅的防禦
   解析： 答案為 B，威脅情報強調主動防禦，可以預測潛在的攻擊，並在攻擊發生之前採取措施。

3. 下列哪個不是威脅情報的應用場景？
   A) 事件優先排序
   B) 資安事件調查充實
   C) 僅用於內部威脅防禦
   D) 分享惡意軟體分析
   解析： 答案為 C，威脅情報可以應用於內部和外部威脅防禦，而非僅限於內部威脅。

4. 為何威脅情報對於藍隊成員至關重要？
   A) 可以忽略 APT 威脅
   B) 有助於藍隊預測和應對複雜攻擊
   C) 只需學習基本網路安全概念
   D) 僅用於技術層面的防禦
   解析： 答案為 B，威脅情報有助於藍隊成員更好地理解和應對進階持續性威脅（APT）等複雜攻擊。

5. 哪一個框架可以幫助分析攻擊者的行為模式？
   A) OSI 模型
   B) MITRE ATT&CK 框架
   C) TCP/IP 模型
   D) WPA 協定
   解析： 答案為 B，MITRE ATT&CK 框架是一種分析攻擊者行為模式的工具。

企業藍隊的下一步

1. 建立威脅情報分享平台： 企業可以設定內部威脅情報分享系統，並與其他組織進行合作，透過即時分享威脅情報來提升整體防禦能力。
2. 提升藍隊技能： 鼓勵藍隊成員持續學習威脅情報，通過實際應用來優化企業防禦策略，並參與更多外部威脅情報分享社群，保持最新趨勢。
3. 部署威脅情報分析工具： 採用 MISP 等開源威脅情報工具，能夠更高效地收集、分析和處理威脅情報，強化防禦體系。
4. 擴展防禦策略： 企業應當根據威脅情報調整資安策略，強化對潛在攻擊者的預測和防禦，並制定針對性安全措施來防範特定威脅。