威脅情報的情報來源

談了藍隊為什麼要了解威脅情報以及關於情資的生命週期，你可能會思考，這些情資到底從哪裡來，有哪一些種類？因此我們要學習不同的情報來源類型與如何從這些來源收集資訊。

1. 公開來源情報（OSINT）
2. 訊號情報（SIGINT）
3. 地理空間情報（GEOINT）
4. 人員情報（HUMINT）

收集與分析之前，最重要的是明確情報需求，也就是需要回答哪些問題，才能決定需要收集哪些類型的情報，以及從哪裡收集。
例如，如果要了解某個駭客組織的攻擊目標和手法，就需要收集 OSINT 來瞭解其背景、活動軌跡等；如果要分析照片、地理相關的內容，則收集 GEOINT 來分析地形等。

公開來源情報 (OSINT) 的定義和應用

定義

公開來源情報 (OSINT) 是指從公開可用的來源收集到的情報，這些來源包括：

• 網路資訊： 例如搜尋引擎、社群媒體、新聞網站、論壇、部落格、暗網等。
• 公開資料庫： 例如政府網站、公司註冊資訊、學術期刊、專利資料庫等。
• 公開文件： 例如公司年報、法庭文件、會議記錄、學術論文等。

應用

OSINT 可以應用於各種領域，包括但不限於：

• 網路安全： 藍隊可以使用 OSINT 來收集與攻擊者相關的情報，例如攻擊者使用的網路暱稱、攻擊工具、攻擊目標等，進而識別網路入侵跡象。
• 商業情報： 企業可以使用 OSINT 來收集競爭對手的情報，例如產品資訊、市場策略、財務狀況等。
• 法律調查： 律師可以使用 OSINT 來收集與案件相關的情報，例如證人資訊、證據材料等。
• 風險管理： 企業可以使用 OSINT 來收集與潛在風險相關的情報，例如自然災害、政治動盪、經濟衰退等。

優缺點

優點：

• 合法性： OSINT 的資料來源都是公開可用的，因此收集 OSINT 是合法的。
• 低成本： 收集 OSINT 的成本相對較低，因為大多數資料來源都是免費的。
• 易於取得： 隨著網際網路的普及，OSINT 的資料來源越來越多，取得也越來越容易。

缺點：

• 資訊過載： OSINT 的資料來源非常龐大，如何有效地篩選和分析資訊是一個挑戰。
• 資訊準確性： OSINT 的資料來源並非都可靠，因此需要仔細驗證資訊的準確性。
• 資訊時效性： OSINT 的資訊可能很快就會過時，因此需要及時更新。

重要資源

• https://github.com/jivoi/awesome-osint

訊號情報 (SIGINT) 的定義和應用

定義

訊號情報 (SIGINT) 是指透過攔截和分析電子訊號和無線電通訊來取得情報的一種方式。 這些訊號可以來自各種來源，包括：

• 通訊系統： 例如手機、無線網路、衛星通訊等。
• 武器系統： 例如雷達、導彈制導系統等。

SIGINT 主要分為兩個子類別:

• 通訊情報 (COMINT)： 指與人與人或團體之間的通訊相關的情報，例如訊息和語音通話內容。 COMINT 通常被認為是 SIGINT 的同義詞，但實際上是 SIGINT 的一個學科。
• 電子情報 (ELINT)： 指從非直接用於通訊的系統中收集的情報，例如導彈制導系統和雷達的制導通訊。

應用

SIGINT 可以應用於各種領域，包括：

• 軍事情報： 在戰爭時期，SIGINT 可以用於取得敵方的軍事部署、作戰計劃、部隊調動等情報。
• 國家安全： SIGINT 可以用於監控恐怖組織、犯罪集團和其他威脅國家安全的組織的通訊。
• 外交： SIGINT 可以用於瞭解其他國家的外交政策和意圖。

收集方法

常見的 SIGINT 收集方法包括：

• 電子戰： 例如使用電子幹擾設備幹擾敵方的通訊和雷達系統。
• 無人機和無人飛行器 (UAV)： 例如使用裝備有訊號攔截設備的無人機和 UAV 監控特定區域的通訊。
• 通訊攔截： 例如在海底鋪設光纜竊聽通訊內容。

優缺點

優點:

• 即時性： SIGINT 可以提供有關目標的即時情報，特別是在危機或衝突時期。
• 準確性： 透過分析原始訊號，SIGINT 可以提供高度準確的情報。

缺點：

• 高成本： SIGINT 的收集和分析需要昂貴的設備和專業人員。
• 合法性和道德問題： SIGINT 的收集可能涉及侵犯隱私權，因此在進行 SIGINT 活動時需要遵守相關的法律和道德規範。
• 易受幹擾： SIGINT 容易受到加密、欺騙和幹擾等技術的影響。

地理空間情報 (GEOINT)

定義

地理空間情報 (GEOINT) 是指利用地理空間資料和分析方法取得、分析和理解與地球表面及其附近任何事物相關情報的一種情報學科。 簡單來說，GEOINT 就是利用地理空間資訊來取得情報。

來源

GEOINT 的資料來源包括但不限於：

• 衛星影像： 這是 GEOINT 最主要的資料來源之一，可以提供高分辨率的地球表面影像，包括可見光、紅外線、雷達等不同波段的影像。
• 航空影像： 例如使用飛機或無人機拍攝的航空照片和影片。
• 地面感測器： 例如部署在地面上的地震儀、氣象站、交通監控攝像頭等。
• 地理資訊系統 (GIS)： 例如 Google 地球、百度地圖等，可以提供豐富的地理空間資料和分析工具。

應用

GEOINT 可以應用於各種領域，包括：

• 軍事： 在軍事領域，GEOINT 可以用於確定目標位置、追蹤敵軍動態、評估戰場損失、規劃軍事行動等。
• 救災： 在自然災害發生時，GEOINT 可以用於快速評估災情、規劃救援路線、協助搜救工作等。
• 環境監測： GEOINT 可以用於監測森林砍伐、土地沙漠化、水汙染等環境問題。
• 城市規劃： GEOINT 可以用於分析城市發展趨勢、規劃城市基礎設施、優化城市交通等。

優缺點

優點：

• 直觀性： GEOINT 以圖像和地圖的形式呈現情報，直觀易懂。
• 覆蓋範圍廣： GEOINT 可以覆蓋全球範圍，提供大範圍的情報。
• 客觀性： GEOINT 的資料來源相對客觀，不易受到人為因素的幹擾。

缺點：

• 時效性： GEOINT 的時效性受限於資料取得和分析的速度，例如衛星影像的拍攝和傳輸需要時間。
• 氣象條件的影響： GEOINT 的資料取得容易受到雲層、雨雪等氣象條件的影響。
• 資料分析的複雜性： GEOINT 的資料分析需要專業的技能和工具，例如影像處理、空間分析等。

總結

GEOINT 是一種非常重要的情報來源，可以為各個領域提供寶貴的情報和決策支持。 隨著地理空間資料取得技術的不斷發展和資料分析方法的不斷進步，GEOINT 的應用範圍將會越來越廣泛，其作用也將會越來越重要。

人員情報 (HUMINT)

定義

人員情報 (HUMINT) 是指從人身上收集到的情報。 這種情報的收集依賴於對人類情感、思維和行為方式的理解，而這些因素因人而異。

應用

HUMINT 的應用範圍非常廣泛，幾乎所有需要了解人類行為和意圖的領域都可以應用 HUMINT，包括：

• 國家安全： 情報機構可以使用 HUMINT 來收集有關恐怖主義、間諜活動和外國政府意圖的情報。
• 軍事情報： 軍事單位可以使用 HUMINT 來收集有關敵軍部署、行動和士氣的情報。
• 執法： 執法機構可以使用 HUMINT 來收集有關犯罪組織、毒品走私和人口販運的情報。
• 商業情報： 企業可以使用 HUMINT 來收集有關競爭對手、市場趨勢和潛在客戶的情報。

收集方法

HUMINT 的收集方法主要可以分為兩大類：

• 秘密手段： 例如間諜活動，情報人員會隱瞞自己的真實身份和目的，秘密地接近目標人物，並想方設法套取情報。
• 公開手段： 例如外交接觸，外交官在與外國官員的公開會面中，透過觀察對方的言行舉止，以及分析公開發表的聲明和文件，也可以收集到有價值的情報。

以下是一些常見的 HUMINT 收集方法：

• 面對面會談： 情報人員與目標人物進行面對面的會談，透過提問、觀察和分析對方的反應來收集情報。
• 審訊： 情報人員對被俘人員或嫌疑人進行審訊，以取得情報。
• 臥底行動： 情報人員以偽造身份打入目標組織內部，長期潛伏收集情報。
• 公開情報收集： 情報人員透過分析公開的資料，例如新聞報導、社交媒體帖子和學術論文，來收集情報。

優缺點

優點：

• 可以提供其他情報來源無法提供的獨特視角： HUMINT 可以讓情報分析人員更加了解目標人物的動機、意圖和計劃。
• 成本相對較低： 與其他情報來源相比，例如 SIGINT 或 GEOINT，HUMINT 的收集成本通常較低。

缺點：

• 收集時間長： HUMINT 的收集需要時間來建立信任關係，並尋找合適的機會取得情報。
• 風險高： HUMINT 收集過程中，情報人員可能會暴露身份，甚至面臨生命危險。
• 主觀性強： HUMINT 情報的可靠性取決於情報人員的素質和判斷力，以及目標人物是否提供了真實的資訊，因此主觀性較強，需要與其他情報來源相互印證。

情報於資安應用

SIGINT 在網路安全中的應用

儘管 SIGINT 主要涉及攔截和分析電子信號和無線電通訊，但其應用也可以擴展到網路安全領域。

• 偵測惡意軟體通訊： 一些惡意軟體會使用特定的通訊協議或端口與攻擊者的伺服器進行通訊。透過分析網路流量，SIGINT 可以幫助安全分析師識別這些惡意通訊，並追蹤到攻擊者的位置和活動。
• 識別網路入侵企圖： 攻擊者在發動網路攻擊時，通常會發送一些試探性的網路請求，以探測目標系統的漏洞。 SIGINT 可以幫助安全分析師識別這些異常的網路活動，並在攻擊者得逞之前採取防禦措施。
• 無線網路安全： SIGINT 可以用於監控無線網路流量，識別未經授權的設備訪問和惡意活動，例如 WiFi 竊聽、中間人攻擊等。

GEOINT 在網路安全中的應用

GEOINT 在網路安全中的應用主要體現在利用地理空間資訊來識別和定位網路威脅：

• 識別攻擊者位置： 透過分析攻擊事件中的 IP 地址、域名等資訊，並結合 GEOINT 的地理定位技術，可以追蹤到攻擊者的物理位置，為執法部門提供線索。
• 預測和預防攻擊： 透過分析歷史攻擊事件的地理空間分佈規律，可以預測未來的攻擊目標和趨勢，並提前採取防禦措施。
• 保護關鍵基礎設施安全： 許多關鍵基礎設施，例如電力、能源、交通等，都依賴於地理空間上分佈的網路和系統。 GEOINT 可以幫助安全團隊監控這些基礎設施的網路安全狀況，及時發現和應對潛在的威脅。

HUMINT 在企業網路安全環境中的應用

HUMINT 在企業網路安全環境中發揮著重要作用，特別是在識別和防禦內部威脅和社會工程攻擊方面：

• 內部威脅識別： 透過員工訪談、背景調查、行為分析等 HUMINT 手段，可以識別潛在的內部威脅，例如心懷不滿的員工、商業間諜等。
• 社會工程防禦： 透過安全意識培訓、模擬演練等方式，可以提高員工對社會工程攻擊的防範意識，降低企業遭受攻擊的風險。 例如，教導員工如何識別可疑的電子郵件、電話和網站，避免洩漏敏感資訊。
• 建立信任關係： 在企業內部建立一個信任和鼓勵舉報的文化，讓員工願意主動報告可疑的活動和潛在的威脅。

整合四種情報來源以獲得更全面的威脅情報圖景

將 SIGINT、OSINT、HUMINT 和 GEOINT 這四種情報來源整合起來，可以為網路安全提供更全面的威脅情報圖景：

1. 收集階段： 利用 OSINT 收集公開情報，例如攻擊者使用的工具、技術和攻擊目標等；利用 HUMINT 收集內部情報，例如員工行為、潛在威脅等；利用 SIGINT 和 GEOINT 收集技術情報，例如攻擊者的網路活動、地理位置等。
2. 分析階段： 將收集到的不同類型的情報進行關聯分析，例如將 OSINT 收集到的攻擊者資訊與 SIGINT 收集到的網路活動軌跡進行比對，以確認攻擊者的身份和攻擊意圖。
3. 應用階段： 根據分析結果，制定相應的防禦策略和應急預案，例如加強網路防禦、提高員工安全意識、與執法部門合作等。

透過整合這四種情報來源，可以更全面地瞭解威脅，預測攻擊趨勢，並採取更有效的防禦措施，從而更好地保護網路安全。

總結

本文深入探討了網路安全領域中四種主要的情報來源：公開來源情報（OSINT）、訊號情報（SIGINT）、地理空間情報（GEOINT）和人員情報（HUMINT）。文章詳細介紹了每種情報的定義、應用範圍、收集方法以及優缺點，並特別強調了它們在網路安全中的具體應用。

小試身手

Q1: 以下哪一種情報來源主要依賴於公開可用的資訊？

A) SIGINT
B) GEOINT
C) OSINT
D) HUMINT
答案：C
解析：OSINT（公開來源情報）是指從公開可用的來源收集到的情報，如網路資訊、公開資料庫和公開文件等。

Q2: SIGINT 主要分為哪兩個子類別？

A) 通訊情報和電子情報
B) 人員情報和地理情報
C) 公開情報和秘密情報
D) 軍事情報和外交情報
答案：A
解析：SIGINT（訊號情報）主要分為通訊情報（COMINT）和電子情報（ELINT）兩個子類別。

Q3: 以下哪一項不是 GEOINT 的主要資料來源？

A) 衛星影像
B) 航空影像
C) 社交媒體帖文
D) 地理資訊系統（GIS）
答案：C
解析：社交媒體帖文通常屬於 OSINT 的範疇，而非 GEOINT 的主要資料來源。

Q4: HUMINT 的收集方法中，哪一種不屬於秘密手段？

A) 間諜活動
B) 臥底行動
C) 外交接觸
D) 審訊
答案：C
解析：外交接觸屬於公開手段，而非秘密手段。外交官在公開會面中透過觀察和分析也可以收集情報。

Q5: 在網路安全中，SIGINT 可以如何應用？

A) 識別攻擊者的物理位置
B) 分析歷史攻擊事件的地理空間分佈
C) 偵測惡意軟體的通訊
D) 進行員工背景調查
答案：C
解析：在網路安全中，SIGINT 可以用於分析網路流量，幫助偵測惡意軟體與攻擊者伺服器之間的通訊。

藍隊的下一步

1. 評估目前情報收集能力
   • 檢視目前團隊使用的情報來源和工具
   • 確認在OSINT、SIGINT、GEOINT和HUMINT各方面的能力強弱
2. 制定情報收集策略
   • 根據企業特性和面臨的主要威脅，確定優先需要加強的情報來源
   • 設計一個平衡且全面的情報收集計劃，涵蓋四種主要情報來源
3. 加強OSINT能力
   • 選擇和部署合適的OSINT工具
   • 培訓團隊成員使用進階搜尋技巧和OSINT分析方法