複習

威脅

1. 威脅是可能損害系統或組織的任何潛在危險。
2. 威脅可以是有意的（例如，駭客攻擊）或無意的（例如，自然災害）。
3. 了解威脅可以幫助組織識別、評估和減輕這些潛在危險。
4. 威脅情報可以幫助組織深入了解威脅的本質、來源、動機、目標和攻擊手段。

漏洞

1. 漏洞是指系統或組織中存在的弱點，攻擊者可以利用這些弱點來入侵系統或竊取資料。
2. 威脅是指可能利用這些漏洞的潛在危險。
3. 漏洞與威脅的關係
   • 一個未修補的作業系統漏洞是一個漏洞
   • 而一個試圖利用該漏洞的駭客組織則是一個威脅
   • 如果駭客成功利用了該漏洞，就會對組織造成資安事件，例如資料洩漏或系統癱瘓
     

CTI 資安威脅情資類型

CTI 資安威脅情資 主要分為以下四種類型：

1. Strategic 戰略:
   • 主要提供非技術性的情資，適合決策者和高層管理人員使用，用於制定決策，例如預算分配和政策制定。
   • 舉例來說，戰略情報可以是關於全球事件如何與網路活動相關聯的報告，例如新冠疫情導致冒充世界衛生組織等衛生機構的網路釣魚攻擊增加。
   • 此外，戰略情報也會關注特定產業的網路攻擊模式，例如銀行的資安團隊會監控針對其他銀行的攻擊，並更新內部團隊，以便他們了解情況並為攻擊做好準備。
2. Tactical 戰術:
   • 戰術情報側重於技術層面，並對組織具有立即性價值。
   • 它通常以**入侵威脅指標（IOC）**的形式共享，這些指標是已知的惡意活動痕跡，例如惡意檔案的雜湊值、惡意網站/IP/連結、惡意電子郵件地址、網域名稱、檔案雜湊值、IP 地址等。
   • 舉例來說，如果分析師收到一份包含發送 Emotet 惡意軟體的網路釣魚郵件的電子郵件地址（IOC）清單，他們可以手動檢查電子郵件閘道安全工具，以識別來自這些地址的任何傳入郵件。
3. Operational 作戰:
   • 作戰情報專注於研究可能針對組織的威脅行為者，以活得有關他們是誰、他們的動機以及用於發動攻擊活動或長期網路行動的**戰術、技術和過程（TTP）**的資訊。
   • 這些資訊有助於組織建立更有效的防禦措施。
4. Technical 技術:
   • 技術情報包含更具體的技術細節，例如：
     • 入侵威脅指標（IOC）
     • 惡意檔案的雜湊值 (hash value)
     • 惡意網站/IP/連結
     • 惡意信箱、主旨、附件

TTPs (戰術、技術和過程) 是戰術情報中的一個重要概念，它描述了攻擊者在攻擊過程中使用的具體方法：

• T，Tactics (戰術)： 攻擊者預期達成的目標，定義戰術與策略。
• T，Techniques (技術)： 達成階段目標所執行的手法，即策略中的技巧與技術。
• P，Procedures (過程)： 攻擊者所使用或開發的軟體與工具，即技術實現的過程。

了解不同類型的 CTI 資安威脅情資，可以幫助組織更有效地應對資安威脅。

是誰會產生威脅情資

威脅參與者是指對組織發起網路攻擊的個人或團體。

了解威脅參與者對於制定有效的資安策略至關重要，因為它能幫助組織：

• 了解攻擊者的動機和目標: 不同類型的威脅參與者，其攻擊的動機和目標也不同。例如，網路犯罪集團的目標可能是竊取財務資料，而國家支援的駭客則可能試圖竊取敏感資訊或破壞關鍵基礎設施。
• 預測攻擊者的行為: 透過分析威脅參與者的歷史攻擊模式和技術，組織可以更好地預測未來的攻擊，並採取相應的防禦措施。
• 制定針對性的防禦策略: 了解威脅參與者的特點，例如他們使用的工具、技術和過程（TTP），可以幫助組織制定更有效的防禦策略，例如部署特定的安全工具或加強員工安全意識培訓。

常見的威脅參與者類型包括:

• 網路犯罪集團: 以經濟利益為主要目標，通常使用各種惡意軟體和網路釣魚攻擊來竊取財務資料或勒索贖金。
• 國家支援的駭客: 由國家政府資助和支援，目標通常是竊取敏感資訊、破壞關鍵基礎設施或進行間諜活動。
• 駭客行動主義者: 出於政治或社會目的發動攻擊，例如破壞網站或洩漏敏感資訊。
• 內部威脅: 來自組織內部的威脅，例如心懷不滿的員工或承包商，他們可能利用自己的權限訪問敏感資訊或破壞系統。

整理

• 不同類型的威脅參與者會產生不同類型的 CTI 資安威脅情資。

  • 例如，網路犯罪集團通常會使用惡意軟件和網路釣魚攻擊，因此與他們相關的 CTI 資安威脅情資可能包含惡意檔案的雜湊值、惡意網站/IP/連結以及惡意信箱、主旨、附件等技術情報，也可能包含 TTPs 等戰術情報。
  • 而國家支援的駭客則可能更側重於利用零日漏洞和進階持續性威脅 (APT)，因此與他們相關的 CTI 資安威脅情資可能包含有關這些攻擊方法的技術細節，以及有關其攻擊目標和動機的戰略情報。

• 瞭解威脅參與者的類型可以幫助組織更好地收集和利用 CTI 資安威脅情資。

  • 例如，如果一個組織知道自己容易受到來自特定網路犯罪集團的攻擊，就可以集中精力收集和分析與該集團相關的 CTI 資安威脅情資，例如該集團常用的攻擊工具和技術。 這將有助於組織更有針對性地部署防禦措施，並提高其整體安全狀況。

• CTI 資安威脅情資可以幫助組織更好地瞭解威脅參與者的行為模式和攻擊動機。

  • 例如，透過分析與某個特定 APT 攻擊相關的 CTI 資安威脅情資，組織可以瞭解該攻擊者的攻擊目標、攻擊方法以及攻擊時間線。

總結

本文介紹了資安威脅情報的關鍵概念，包括威脅、漏洞、CTI（網路威脅情報）的類型，以及威脅參與者。這些知識對於組織制定有效的資安策略至關重要。

選擇題

1. 下列哪項不是CTI資安威脅情資的主要類型？
   A) 戰略 B) 戰術 C) 作戰 D) 邏輯

   答案：D
   解析：CTI資安威脅情資主要分為戰略、戰術、作戰和技術四種類型。

2. 戰術情報通常以什麼形式共享？
   A) 預算報告 B) 入侵威脅指標（IOC） C) 公司政策 D) 員工培訓計劃

   答案：B
   解析：戰術情報通常以入侵威脅指標（IOC）的形式共享，這些是已知的惡意活動痕跡。

3. TTP在網路安全中代表什麼？
   A) 時間、溫度、壓力 B) 戰術、技術和過程 C) 測試、培訓、生產 D) 威脅、目標、計劃

   答案：B
   解析：在網路安全中，TTP代表戰術（Tactics）、技術（Techniques）和過程（Procedures）。

4. 哪種類型的威脅參與者主要以經濟利益為目標？
   A) 國家支援的駭客 B) 駭客行動主義者 C) 網路犯罪集團 D) 內部威脅

   答案：C
   解析：網路犯罪集團主要以經濟利益為目標，通常使用各種惡意軟體和網路釣魚攻擊來竊取財務資料或勒索贖金。

5. 了解威脅參與者對組織有什麼好處？
   A) 增加營業額 B) 改善客戶關係 C) 預測攻擊者行為 D) 提高員工生產力

   答案：C
   解析：了解威脅參與者可以幫助組織預測攻擊者的行為，從而更好地制定防禦策略。

藍對企業看完文章的下一步

1. 評估目前的網路安全狀況，識別潛在的威脅和漏洞。
2. 根據組織的特點和面臨的威脅，確定最相關的CTI類型。
3. 建立或改進威脅情報收集和分析流程。
4. 培訓相關人員理解和使用CTI資安威脅情資。
5. 根據CTI分析結果，更新和優化網路安全策略和防禦措施。
6. 定期審查和更新威脅情報，確保其時效性和相關性。
7. 考慮加入相關行業的威脅情報共享平台，以獲取更廣泛的情報。
8. 進行定期的安全演練，測試基於CTI的防禦措施的有效性。