藍隊為何需要了解威脅情報生命週期

藍隊需要了解威脅情報生命週期，因為它能幫助他們更有效地防禦網路攻擊，並提升整體安全態勢。

具體來說，了解這個週期可以能讓藍隊：

• 主動採取行動
  • 與其被動地應對攻擊，不如主動出擊
  • 透過威脅情報，藍隊可以預先了解攻擊者的戰術、技術和流程（TTPs），並採取相應的防禦措施
  • 例如修補漏洞、強化配置或部署偵測機制
• 提高效率
  • 對大量的資安事件和警報，藍隊需要有效地分配資源
  • 威脅情報可以幫助他們識別最關鍵的威脅，並優先處理高風險事件
• 豐富調查內容
  • 當資安事件發生時，威脅情報可以提供更豐富的背景資訊
  • 例如攻擊者的身份、動機和目標，幫助藍隊更快地找出攻擊源頭、攻擊途徑和受影響範圍
• 強化安全控制
  • 透過分析威脅情報，藍隊可以識別自身安全控制的不足之處，並採取措施加以改進
  • 例如調整防火牆規則、加強身份驗證機制或部署入侵偵測系統
• 促進資訊共享
  • 威脅情報的共享可以讓藍隊從其他組織的經驗和教訓中學習
  • 及時取得最新的威脅資訊，共同提高整個產業的安全標準

什麼是「威脅情報生命週期」

• 「威脅情報生命週期」是指收集原始資料並將其轉換為可操作情報的過程
• 可以幫助組織了解並減輕網路安全威脅
• 包含多個階段，每個階段都對產生和利用威脅情報非常重要
  • 規劃與方向
  • 收集資料
  • 處理資料
  • 分析資料
  • 傳播資料
  • 回饋資料

一、規劃與方向

這個階段是威脅情報生命週期的基礎，如同建造房屋前的打地基般重要。

組織需要在這個階段：

1. 定義明確的目標
2. 識別相關的利益關係人
3. 界定專案範圍

以確保資源的有效運用，並避免將時間浪費在不重要的情報上。

以下用更詳細的例子來說明
假設一家電子商務公司從合作夥伴那裡收到情報，
得知一個名為 「APT16」 的駭客組織計劃對其發動攻擊：

1. 設定明確目標

• 識別威脅行為者
  • 深入研究 「APT16」
  • 了解其背景、攻擊目標、慣用手法、技術能力
  • 研究過去的攻擊事件
• 評估威脅程度
  • 「APT16」 是否專注於竊取金融資料？
  • 他們是否以電子商務公司為目標？
  • 他們的攻擊是否複雜且難以防禦？
• 預測潛在影響：
  • 「APT16」 的攻擊可能如何影響公司業務？
    • 導致資料洩漏
    • 導致服務中斷
    • 財務損失
    • 名譽損害

2. 確定利益關係人

• 內部團隊
  • 哪些內部團隊需要參與應對這次威脅？
  • 資安相關：SOC Team、事件回應小組、威脅情報分析師
  • 其他部門：法務部門、公關部門和相關業務部門
• 外部合作夥伴
  • 是否需要與外部合作夥伴合作？
  • 委外資訊安全公司、執法機構、產業組織或其他受影響的企業合作
  • 目的：共享情報和協調應對措施

3. 界定專案範圍

• 情報類型
  • 需要收集哪些類型的情報來完成目標？
    • 與 「APT16」 相關的
      • 技術情報（例如攻擊指標、惡意軟體分析）
      • 戰術情報（例如攻擊手法、基礎設施）
      • 戰略情報（例如攻擊動機、目標產業）
• 情報來源
  • 從哪裡收集情報？
    • 暗網論壇、駭客社群、技術部落格
    • 資安研究報告、商業威脅情報平台
    • 內部安全系統
• 時間範圍
  • 專案的時間範圍是多久？
    • 專注於防禦即將發生的攻擊
    • 或進行長期監控和分析

小節

藉由以上的

1. 明確目標
2. 識別利益關係人
3. 界定專案範圍

該公司可以有效地調動資源，
收集和分析與 「APT16」 相關的情報，
並採取適當的措施來防禦潛在的攻擊，將損失降至最低。

二、收集

這個階段是威脅情報生命週期的核心，如同收集素材，準備烹飪美味佳餚。
情報團隊會在這個階段盡可能地收集相關資訊，
以建構可操作的情報，協助組織防禦潛在威脅。

假設我們延續之前電子商務公司遭遇 「APT16」 駭客組織威脅的例子，
情報團隊會進行以下行動：

1. 從暗網論壇抓取資訊

• 會盡可能地收集 「APT16」 在地下論壇上的所有發文
  • 文字內容、圖片、檔案
  • 任何與帳號相關的資訊
    • 帳戶建號時間
    • 活動紀錄
    • IP 位址
• 收集目的
  • 了解 「APT16」
  • 運作模式、攻擊目標、技術能力、交流方式和成員資訊
• 收集方式
  • 使用爬蟲技術來自動化抓取資訊
  • 使用人工方式逐一搜尋和分析相關發文

2. 執行公開來源情報（OSINT）搜尋

• 團隊會利用 OSINT 工具和技術
  • 從公開的網路資訊中搜尋與 「APT16」 相關的資訊
• 收集來源
  • 社交媒體平台、新聞網站、政府公開資料庫
  • 網域名稱註冊資料、資安安全研究報告
• 收集目標
  • 團隊可以利用 OSINT 技術找出 「APT16」
  • 成員、組織結構、活動範圍、使用的工具和技術、攻擊目標

3. 收集其他相關資訊

• 團隊會收集在規劃與方向階段定義的範圍內的任何其他資訊，例如：
  • 與 「APT16」 使用的特定軟體、服務或協定相關的技術資訊
  • 與 「APT16」 攻擊手法、目標產業、攻擊動機和潛在損失相關的戰略資訊
  • 與 「APT16」 過去的攻擊事件相關的案例研究和分析報告

4. 使用集中式威脅情報平台

• 成熟的威脅情報團隊通常會使用集中式威脅情報平台
  • 例如 MISP，來儲存所有收集到的資訊，並進行分析和共享
• MISP 平台可以提供一個中央化的資料庫
  • 儲存指標、攻擊指標、惡意軟體檔案、攻擊手法、技術能力
• 團隊可以透過 MISP 與其他組織共享可操作的情報，
  • 與同產業的企業或安全研究機構合作
  • 共享目的：提升整體安全防禦能力

小節

有效的收集，為後續的分析更好進行
情報團隊可以取得更多與威脅行為者相關的資訊
並制定更精準的防禦策略

三、處理

這個階段就像將食材清洗、分類和準備妥當，才能開始烹飪。

在收集階段獲得大量原始資料後，
情報團隊需要將這些雜亂的資訊 處理 成清晰易讀的格式
以便情報分析師（通常是人工情報分析師）能夠有效地進行分析。

以下延續電子商務公司面臨 「APT16」 駭客組織威脅的例子，
說明如何處理收集到的資訊：

1. 翻譯

• 如果情報團隊在暗網論壇上收集到的 「APT16」 發文不是用英文寫的，就需要 專業翻譯人員 進行翻譯。
• 翻譯時需要確保資訊的準確性，避免因語言差異而造成誤解或遺漏重要細節。
• 例如，「APT16」 可能使用了某些特定地區或文化背景下的俚語或專業術語，需要由熟悉這些背景的翻譯人員進行準確的轉換。

2. 資料結構化

• 情報團隊需要將收集到的非結構化資料，例如論壇發文、新聞報導、社交媒體貼文等，轉換成結構化的格式，例如資料庫、試算表或時間軸。
• 結構化資料可以讓分析師更輕鬆地搜尋、排序、篩選和比對資訊，提高分析效率。
• 例如，可以將 「APT16」 的攻擊事件按照時間順序排列，並標記每個事件的攻擊目標、攻擊手法、使用的工具和技術、造成的損失等等。

3. 資料去重複

• 由於情報團隊可能從多個來源收集到相同的資訊，因此需要進行去重複處理，避免重複分析相同的資料，浪費時間和資源。
• 例如，可以利用資料比對工具，找出重複的論壇發文、新聞報導或社交媒體貼文，並將其合併成單一記錄。

4. 資料關聯

• 情報團隊需要將來自不同來源的資料進行關聯，找出彼此之間的關聯性，建構更完整的情報圖譜。
• 例如，可以將暗網論壇上 「APT16」 的發文，與 OSINT 搜尋到的網域名稱註冊資訊、社交媒體帳戶和技術部落格文章進行關聯，找出 「APT16」 成員的真實身份、組織結構和攻擊目標。

5. 資料視覺化

• 將處理後的資料進行視覺化呈現，例如圖表、地圖或網路圖，可以幫助分析師更直觀地理解威脅情報，更容易找出潛藏的趨勢和模式。
• 例如，可以利用網路圖展示 「APT16」 的組織結構、成員之間的關係、使用的基礎設施和攻擊目標。

四、分析

這個階段如同開始烹飪，需要經驗豐富的廚師，根據食材特性和烹飪目標，選擇合適的烹飪方式和調味，才能烹調出美味佳餚。

在處理階段將原始資料整理完畢後，情報分析師會進入 分析 階段，將這些資訊轉化為可操作的情報。

同樣以電子商務公司面臨 「APT16」 駭客組織威脅為例，
說明分析階段的具體行動：

1. 威脅評估

• 分析師會根據處理過的資訊，評估 「APT16」 對電子商務公司構成的威脅程度。
• 他們會分析 「APT16」 的攻擊目標、攻擊手法、技術能力、過往攻擊事件等資訊，判斷 「APT16」 是否具備攻擊電子商務公司的動機、能力和機會。
• 例如，如果 「APT16」 過去主要攻擊目標是金融機構，而電子商務公司擁有大量的用戶支付資訊，就可能成為 「APT16」 的潛在目標。

2. 風險評估

• 分析師會評估 「APT16」 成功攻擊電子商務公司可能造成的損失，包括資料洩漏、服務中斷、財務損失、名譽損害等方面。
• 他們會考慮電子商務公司的業務規模、資料敏感度、安全防禦措施等因素，評估不同類型攻擊造成的潛在影響。
• 例如，如果電子商務公司儲存了大量的用戶信用卡資訊，一旦發生資料洩露事件，將面臨巨額的賠償金和名譽損失。

3. 決策制定

• 基於威脅評估和風險評估的結果，分析師會制定相應的應對策略，例如：
  • 是否需要調查潛在威脅？ 如果 「APT16」 的威脅程度高，就需要進行更深入的調查，例如追蹤其攻擊基礎設施、分析其使用的惡意軟體等。
  • 需要立即採取哪些行動來阻止攻擊？ 例如，封鎖 「APT16」 已知的攻擊 IP 位址、更新防火牆規則、加強身份驗證機制等。
  • 如何加強安全控制？ 例如，部署入侵偵測系統、加強員工安全意識培訓、實施多因素身份驗證等。
  • 在額外的安全資源上投入多少是合理的？ 例如，是否需要購買商業威脅情報服務、聘請外部安全專家、升級安全設備等。

4. 情報呈現

• 分析師需要將分析結果以簡潔易懂的方式呈現給不同的受眾，例如：
  • 針對安全分析師 可以使用技術性的語言和圖表，詳細說明 「APT16」 的攻擊指標、惡意軟體分析、攻擊手法等技術細節。
  • 針對執行委員會 需要使用非技術性的語言，重點說明 「APT16」 的威脅程度、潛在影響、應對策略、所需資源等商業層面的資訊。

五、傳播

將烹飪好的佳餚端上桌，讓客人品嚐。

傳播是威脅情報生命週期的最後一個階段，在這個階段，情報團隊需要將分析後的情報傳遞給需要的人，並確保他們能夠理解和運用這些情報來做出決策或採取行動。

以下延續電子商務公司面臨 「APT16」 駭客組織威脅的例子，說明如何將威脅情報傳播給不同的受眾：

1. 針對不同的受眾，提供不同的情報內容和呈現方式

• SOC

  • 他們需要什麼 需要詳細的技術情報，例如攻擊指標 (IOCs)、攻擊手法 (TTPs)、惡意軟體分析報告等，以便即時偵測和應對攻擊。
  • 如何呈現 可以透過安全資訊與事件管理系統 (SIEM) 、威脅情報平台 (TIP) 或其他安全工具，將情報自動化傳遞給 SOC。
  • 更新頻率 需要即時或非常頻繁的更新，例如每小時或每天更新。
  • 溝通管道 可以透過電子郵件、簡訊、電話或專屬的溝通平台進行溝通。

• 安全分析師

  • 他們需要什麼 需要深入分析和情境資訊，例如攻擊者的背景、動機、目標、攻擊手法演變等，以便他們能夠更全面地理解威脅，並制定更有效的防禦策略。
  • 如何呈現 可以透過情報報告、簡報、視覺化圖表等方式呈現。
  • 更新頻率 可以根據情況調整更新頻率，例如每週或每月更新。
  • 溝通管道 可以透過電子郵件、會議、線上論壇或專屬的溝通平台進行溝通。

• 其他威脅情報分析師

  • 他們需要什麼 需要原始資料、分析方法和結論，以便他們能夠驗證情報的準確性和可靠性，並進行進一步的研究。
  • 如何呈現 可以透過情報交換平台、標準化情報格式 (例如 STIX/TAXII) 或研究報告等方式共享情報。
  • 更新頻率 可以根據情況調整更新頻率。
  • 溝通管道 可以透過情報交換平台、電子郵件、會議或線上論壇進行溝通。

• 執行委員會（高層管理人員）

  • 他們需要什麼 需要高層次的戰略情報，例如威脅趨勢、風險評估、安全投資回報率等，以便他們能夠做出明智的業務決策，例如調整安全預算、制定安全策略或改善安全措施。
  • 如何呈現 需要使用簡潔易懂的語言和視覺化圖表，避免使用過多技術術語，重點說明威脅對公司業務的潛在影響和應對方案。
  • 更新頻率 可以根據情況調整更新頻率，例如每季或每年更新。
  • 溝通管道 可以透過會議、簡報、報告或專屬的溝通平台進行溝通。

2. 確保受眾能夠理解和運用情報

• 在傳播情報時，需要確保受眾能夠理解情報的內容和含義。
• 可以透過提供背景資訊、解釋專業術語、使用圖表和案例說明等方式，降低理解難度。
• 同時，需要明確說明情報的可靠性和時效性，並提供如何驗證和更新情報的指引。

3. 建立有效的情報回饋機制

• 建立有效的情報回饋機制，讓受眾可以及時提出問題、回饋意見或分享新的情報。
• 情報團隊可以根據回饋意見，調整情報收集、分析和傳播的方式，不斷提升情報的質量和效益。

4. 持續改進情報傳播流程

• 定期評估情報傳播流程的有效性，找出不足之處並加以改進。
• 可以透過問卷調查、訪談、數據分析等方式，收集受眾的意見和建議，並根據實際情況調整情報傳播策略。

總之，情報傳播是威脅情報生命週期中不可或缺的一環。透過有效的情報傳播，情報團隊可以將情報的價值最大化，協助組織做出更明智的安全決策，並採取更有效的行動來防禦網路攻擊。

六、回饋

這個階段就像品嚐烹飪後的佳餚，並根據口味調整食譜，以期下次做得更好。

回饋階段是威脅情報生命週期的最後一個階段，但它同樣非常重要，因為它確保情報產品和服務能夠滿足使用者的實際需求，並隨著時間推移不斷改進。

以下延續電子商務公司面臨 「APT16」 駭客組織威脅的例子，說明如何有效地取得回饋：

1. 確定情報優先事項

• 情報團隊需要與公司內部各個團隊，例如SOC、事件應變小組、風險管理團隊和業務部門等，溝通了解他們的情報需求和優先事項。
• 例如，SOC 可能最關心 「APT16」 使用的最新攻擊指標 (IOCs)，以便更新防火牆規則和入侵偵測系統；而風險管理團隊可能更關心 「APT16」 的攻擊動機和目標產業，以便評估公司面臨的風險程度。

2. 收集使用者回饋

• 情報團隊需要建立有效的回饋機制，例如定期會議、問卷調查、線上平台或電子郵件等，以便從使用者那裡收集回饋意見。
• 回饋內容應該涵蓋情報產品和服務的各個方面，例如：
  • 情報的準確性、及時性和相關性
  • 情報的格式、內容和傳播方式
  • 情報分析和應對建議的可操作性
  • 情報團隊的響應速度和服務品質

3 分析和應用回饋

• 情報團隊需要認真分析收集到的回饋意見，找出情報產品和服務的優缺點，以及使用者需求和優先事項的變化。
• 根據回饋意見，情報團隊可以調整情報生命週期的各個階段，例如：
  • 收集更符合使用者需求的資料
  • 採用更有效的資料處理和分析方法
  • 開發更易於理解和使用的情報產品和服務
  • 提供更及時和有效的情報傳播和應對服務

3 持續改進

• 回饋是一個持續的過程，情報團隊需要定期收集和分析回饋意見，並不斷改進情報產品和服務，以滿足使用者不斷變化的需求。

具體的回饋例子

• SOC 分析師回饋說，情報報告中提供的 「APT16」 攻擊指標不夠及時，導致他們無法及時更新安全系統。情報團隊根據回饋意見，縮短了情報收集和分析的週期，並建立了自動化情報傳播機制，以便更快地將最新的攻擊指標傳遞給 SOC。
• 風險管理團隊回饋說，他們希望了解 「APT16」 針對哪些特定產業發動攻擊，以便評估公司面臨的風險程度。情報團隊根據回饋意見，收集了更多關於 「APT16」 攻擊目標的情報，並撰寫了專門針對公司所在產業的威脅情報報告。

透過有效的回饋機制，情報團隊可以確保情報產品和服務能夠真正地幫助公司提升安全防禦能力，並隨著時間推移不斷改進。

總結

威脅情報生命週期是藍隊有效防禦網路攻擊的關鍵工具。它包括六個階段:

1. 規劃與方向: 定義目標、識別利益相關者、界定專案範圍。
2. 收集: 從多種來源取得原始資料。
3. 處理: 將原始資料轉換為結構化、可分析的格式。
4. 分析: 將處理後的資料轉化為可操作的情報。
5. 傳播: 將分析結果傳達給相關人員。
6. 回饋: 收集使用者意見,持續改進整個流程。

理解並應用這個週期可以幫助藍隊:

• 主動採取防禦措施
• 提高資源分配效率
• 豐富安全事件調查內容
• 強化整體安全控制
• 促進組織間的資訊共享

藍隊應該將威脅情報生命週期整合到日常工作中,以不斷提升組織的網路安全防禦能力。

小試身手

1. 威脅情報生命週期的第一個階段是什麼?
   A) 收集
   B) 規劃與方向
   C) 分析
   D) 處理

   正確答案: B) 規劃與方向

   解析: 規劃與方向是威脅情報生命週期的第一個也是最重要的階段。在這個階段,組織需要明確定義目標,識別相關的利益關係人,並界定專案範圍。這為整個情報收集和分析過程奠定了基礎,確保後續工作能夠有效地滿足組織的需求。

2. 在收集階段,下列哪項不是常見的情報來源?
   A) 暗網論壇
   B) 公開新聞網站
   C) 內部安全系統日誌
   D) 員工個人社交媒體帳號

   正確答案: D) 員工個人社交媒體帳號

   解析: 雖然社交媒體可能包含有價值的資訊,但使用員工的個人社交媒體帳號作為情報來源可能涉及隱私和道德問題。常見的威脅情報來源包括暗網論壇、公開新聞網站、內部安全系統日誌等。這些來源可以提供合法且有價值的威脅情報,而不會侵犯個人隱私。

3. 在處理階段,將非結構化資料轉換為結構化格式的主要目的是什麼?
   A) 節省儲存空間
   B) 提高分析效率
   C) 增加資料保密性
   D) 簡化傳播過程

   正確答案: B) 提高分析效率

   解析: 將非結構化資料(如論壇文章、新聞文章等)轉換為結構化格式(如資料庫、電子表格)的主要目的是提高後續分析的效率。結構化資料更容易搜尋、排序、過濾和比較,使分析師能夠更快速、更有效地識別模式、趨勢和關聯。

4. 在分析階段,針對執行委員會的報告應該著重於哪些方面?
   A) 詳細的技術指標
   B) 複雜的攻擊手法分析
   C) 高層次的威脅趨勢和風險評估
   D) 具體的程式碼片段

   正確答案: C) 高層次的威脅趨勢和風險評估

   解析: 執行委員會通常需要高層次、戰略性的資訊來做出決策。因此,報告應該重點關注威脅趨勢、風險評估、潛在業務影響和建議的應對策略等方面。詳細的技術指標、複雜的攻擊手法分析或具體的程式碼片段通常不適合呈現給執行委員會,因為這些資訊過於技術性和細節化。

5. 威脅情報生命週期中的"回饋"階段主要目的是什麼?
   A) 評估情報分析師的工作表現
   B) 確保情報產品滿足使用者需求並持續改進
   C) 向情報來源提供回饋
   D) 審核情報的機密等級

   正確答案: B) 確保情報產品滿足使用者需求並持續改進

   解析: 回饋階段的主要目的是確保情報產品和服務能夠滿足使用者的實際需求,並隨著時間推移不斷改進。通過收集和分析使用者的回饋,情報團隊可以了解情報產品的優缺點,識別使用者需求的變化,並相應地調整情報生命週期的各個階段。這種持續改進的過程對於維持威脅情報的相關性和有效性至關重要。

企業的下一步

1. 評估現狀: 審視目前的威脅情報處理流程,找出可以改進的地方。
2. 制定計劃: 根據威脅情報生命週期的六個階段，為團隊制定一個實施計劃。
3. 培訓團隊: 確保每個團隊成員都理解威脅情報生命週期的每個階段及其重要性。
4. 選擇工具: 評估並選擇適合團隊的威脅情報平台或工具。
5. 開始實施: 從小規模開始，逐步將威脅情報生命週期整合到日常工作中。
6. 持續改進: 定期收集回饋，不斷優化威脅情報處理流程。