前言

根據威脅情報和作戰情報安全流程來介紹本次內容，希望帶領讀者可以從基礎概念逐步深入到更複雜和具體的工具和框架。

1. 理解作戰情報的基礎：起點，介紹了整個主題的核心概念。它幫助讀者理解什麼是作戰情報，以及它在威脅情報中的重要性。
2. 探討前兆概念：前兆是最早期的威脅指標，了解它可以幫助組織在威脅實際發生之前採取預防措施。
3. 深入了解入侵指標：針對前兆概念的延伸，關注已經發生的入侵的具體指標。
4. 分析 MITRE ATT&CK框架：這個框架提供了一個全面的攻擊技術和戰術的分類（TTPs)，幫助理解攻擊者的行為模式。
5. 了解 Cyber Kill Chain：這個模型描述了攻擊的各個階段，與MITRE ATT&CK框架形成互補。
6. 討論歸因及其局限性：在了解了攻擊的指標、模式和階段後，讀者可能會想到如何識別攻擊者。
7. 理解痛苦金字塔：這個概念綜合了前面所有的知識，了解如何有效地阻止攻擊者。

理解作戰情報的基礎

什麼是作戰情報 (Operational Intelligence)？它在威脅情報領域中扮演什麼角色？

作戰情報側重於威脅情報領域的實際應用。

它包含對入侵指標和前兆的深入理解，以及攻擊框架（例如 MITRE 的 ATT＆CK 框架和洛克希德馬丁公司的網路殺傷鏈）。

作戰情報的重點是運用各種資訊和工具，將威脅情報轉化為可操作的結論和行動，以提升組織的安全性。

作戰情報分析師的日常工作內容包括哪些？

作戰情報分析師的典型工作內容包括：

• 收集指標、入侵指標和前兆： 這些資訊用於與其他組織(同產業)共享可操作的情報。

• 讓惡意行為者的行動更加困難： 分析師會利用「痛苦金字塔」的概念，針對攻擊者的不同層面進行打擊，讓他們的行動更難以執行。

• 「痛苦金字塔」的概念：

  • 「痛苦金字塔」是一種視覺化的表示方式，用於呈現我們可以透過拒絕惡意行為者使用某些指標來造成他們多少痛苦，從而破壞他們的行動。
  • 金字塔的最底層是最容易改變的指標（例如，我們可以透過編輯單一字元來更改惡意檔案的雜湊值，這可以規避安全工具中基於雜湊值的封鎖)
  • 頂層是最難改變的指標，迫使攻擊者必須透過了解和防禦他們在攻擊中使用的技術來改變他們的整個行動。

為什麼收集指標 (indicators) 和入侵指標 (indicators of compromise) 對作戰情報很重要？

收集指標和入侵指標對於作戰情報很重要，因為它們提供了有關威脅的寶貴資訊，使組織能夠偵測和應對網路攻擊。

• 指標和入侵指標的用途:
  • 強化入侵偵測和防禦系統： 這些指標可用於套用各種安全工具，例如端點偵測與回應 (EDR) 系統、防火牆和其他自動化防禦措施。
  • 執行威脅暴露檢查： 分析師可以使用這些指標來檢查他們的環境是否存在已知的威脅指標，從而識別出網路攻擊的早期或晚期跡象。
  • 共享威脅情報： 指標，尤其是入侵指標，可以用標準化格式（如 STIX 和 TAXII）在組織之間共享，促進協作並提高整體的資訊安全態勢。
• 指標和入侵指標的範例:
  • 電子郵件地址： 這些郵箱曾被用於發送包含惡意網址或附件的電子郵件，或試圖對電子郵件收件人進行社交工程攻擊。
  • IP 位址： 這些 IP 位址曾被用於執行未經授權的端口或漏洞掃描、託管惡意內容或網站，或與惡意行為者基礎設施（如命令和控制 (C2) 伺服器）相關聯。
  • 域名/網址： 這些網站曾被用於託管惡意軟體、網路釣魚網站或其他惡意內容。
  • 檔案雜湊/檔案名稱： 這些資訊（通常是唯一的雜湊值，例如 MD5、SHA256 或 SHA1）可以用於識別和阻止惡意檔案。

收集指標和入侵指標在作戰情報中扮演著很重要的角色。它們提供了對潛在威脅的可操作見解，使組織能夠主動防禦網路攻擊、最大限度地降低風險，並保護其關鍵資產。

前兆：深入瞭解網路攻擊的預警訊號

除了作戰情報之外，接下來將探討「前兆 (Precursors)」概念，因為前兆在網路攻擊生命週期中扮演著很重要的角色，可以幫助組織在攻擊發生之前預防攻擊。

參考調查局─如何建立資安事件應變程序中針對前兆的概念如下圖：

什麼是威脅前兆？它們如何幫助組織預防網路攻擊？

威脅前兆是事件識別和回應過程中不可或缺的環節，它讓攻擊者和資安研究人員都能夠識別系統中存在的缺陷和/或漏洞。

前兆就像是網路攻擊的預警訊號，可以讓組織在攻擊真正發生之前採取行動來防範。

組織可以透過識別前兆來預防網路攻擊：

• 漏洞修補： 前兆可以幫助組織及早發現系統中的漏洞，並在攻擊者利用這些漏洞之前進行修補。
• 安全策略調整： 根據前兆提供的資訊，組織可以調整其安全策略，例如加強身份驗證、限制網路存取或提高員工的安全意識。
• 威脅情報分享： 組織可以與其他組織或資安組織共享前兆資訊，以便共同防禦潛在的攻擊。

識別前兆有哪些主要的挑戰

儘管前兆在資訊安全中扮演著重要的角色，但識別前兆也面臨著一些挑戰：

• 難以識別： 前兆通常是威脅識別過程中最難以獲取的元素。 大多數攻擊並沒有可識別或可檢測的前兆（從組織的角度來看）。
• 缺乏可見性： 許多前兆發生在組織的網路外部，例如攻擊者的偵察活動，這使得組織難以獲取這些資訊。
• 需要專業知識： 識別和分析前兆需要資安專業人員具備豐富的經驗和專業知識，才能夠將看似無關的事件串聯起來，並發現潛在的威脅。

常見的前兆類型

以下列舉並解釋三種常見的前兆類型，以及如何識別這些前兆：

• 端口掃描、作業系統和應用程式指紋識別： 攻擊者經常使用端口掃描工具（例如 Nmap、Netcat 或 Nessus）來收集目標網路的資訊，例如開放的端口、執行的服務以及作業系統和應用程式的版本。 這些資訊可以用於識別潛在的漏洞，並制定攻擊計畫。
  • 識別方法： 監控網路連接和來自面向網際網路系統的事件日誌。
  • 例如，防火牆或 Web 應用程式防火牆 (WAF) 的日誌可以顯示單一來源 IP 在短時間內嘗試連接到多個端口。
• 社交工程和偵察： 攻擊者可能會使用社交工程技術，例如垃圾桶尋找有用資訊（從垃圾桶中尋找包含敏感資訊的物品）或竊聽（偷聽員工的對話）來收集有關目標組織的資訊。
  • 這些資訊可以用於製作更有針對性的攻擊，例如網路釣魚攻擊。
  • 識別方法： 關注員工報告的任何異常或可疑活動，並檢查辦公室內外的監視器錄影。
  • 例如，非員工在辦公室垃圾桶附近徘徊、非員工在辦公室或大廳區域逗留、員工在辦公室外或附近與陌生人交談、來自未知、隱藏或偽造號碼的電話，以及文件或辦公設備遺失等，都可能是社交工程和偵察活動的前兆。
• OSINT 來源： 攻擊者可能會使用公開來源情報 (OSINT) 來源，例如社群媒體、部落格、論壇、安全文章和報告，以及明網和暗網上的其他資料，來收集有關目標組織的資訊。 這些資訊可以用於識別潛在的攻擊面和漏洞。
  • 識別方法： 監控 OSINT 來源，例如使用 TweetDeck 等免費工具或 Recorded Future 等付費情報資源。
  • 例如，來自威脅組織的電子郵件威脅或聲稱將攻擊該組織、公開披露的漏洞 (CVE) 影響組織使用的系統或程式、地下論壇上關於正在被利用的零時差漏洞或新惡意軟體的討論，以及政府組織或情報供應商提供的漏洞利用活動增加的報告等，都可能是攻擊者利用 OSINT 來源和公告板進行攻擊的前兆。

了解和識別前兆對於組織的資訊安全很重要。

透過積極主動地監控和分析這些預警訊號，組織可以及早發現並阻止潛在的網路攻擊，從而最大程度地降低風險並保護其關鍵資產。

深入了解入侵指標 (Indicators of Compromise, IOCs)

什麼是入侵指標？它們如何被用於威脅情報共享？

入侵指標 (IOCs) 是威脅情報的核心要素，允許我們以多種不同格式共享有關威脅的資訊。 這些資訊用於強化入侵偵測和防禦系統、端點偵測和回應系統、防火牆和其他自動化防禦措施。 人工分析師也可以使用這些指標來對其環境執行威脅暴露檢查，以識別網路攻擊的早期或晚期跡象。

威脅情報共享中的入侵指標：

• 標準化格式： IOC 通常以標準化格式共享，例如 STIX 和 TAXII（稍後將更詳細地解釋），以確保不同組織和安全工具之間的互操作性。
• 情報平台和社群： 組織可以使用專用的威脅情報平台或加入情報共享社群，與同行和其他信任的實體共享 IOC。
• 政府和執法機構： 政府和執法機構可能會與企部門共享 IOC，以提高整體的資訊安全態勢。

常見的入侵指標類型

以下是四種常見的 IOC 類型：

1. 電子郵件地址： 這些郵箱被發現參與了惡意活動，例如發送包含惡意網址或附件的電子郵件，或試圖對電子郵件收件人進行社交工程攻擊。
2. IP 位址： 這些 IP 位址與惡意活動相關聯，例如執行未經授權的端口或漏洞掃描、託管惡意內容或網站，或與惡意行為者基礎設施（如命令和控制 (C2) 伺服器）相關聯。
3. 域名/網址： 這些網站被發現託管惡意軟體、網路釣魚網站或其他惡意內容。
4. 檔案雜湊/檔案名稱： 這些資訊，通常是唯一的雜湊值（例如 MD5、SHA256 或 SHA1），可用於識別和阻止惡意檔案。 資安團隊可以使用這些雜湊值將特定檔案列入黑名單，以便被安全解決方案（例如端點偵測和回應 (EDR)）偵測和刪除。

STIX 和 TAXII 在入侵指標共享中扮演什麼角色？

STIX 和 TAXII 是共享威脅情報（例如 IOC）的常用方法。 這些值本身並沒有多大意義，但透過 STIX，我們可以以結構化格式共享資訊，提供的不僅僅是 IOC 列表。

• STIX (結構化威脅資訊表達)： STIX 由 MITRE 和 OASIS 網路威脅情報技術委員會開發，是一種用於共享威脅資訊的標準化語言。 對於某些組織和資訊共享委員會來說，這一標準已被廣泛使用。 雖然 STIX 設計用於與 TAXII 結合使用，但也可以在沒有 TAXII 的情況下共享。 STIX 不僅可以共享 IOC，還可以共享有關以下方面的威脅資訊：

  • 動機 (Motivations)
  • 能力 (Abilities)
  • 攻擊能力 (Capabilities)
  • 回應 (Response)

• TAXII (可信自動化情報交換)： TAXII 定義了如何使用服務和訊息交換來共享網路威脅資訊。 該平台旨在處理 STIX 資訊，在伺服器上執行，允許在指定群組之間共享資訊，或提供個人可以註冊並接收情報的公共威脅情報。

MITRE ATT&CK 框架

MITRE ATT&CK 框架的主要目的是什麼

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) 框架是一個知識庫和模型，用於描述網路攻擊者的行為，反映了攻擊者攻擊生命週期的各個階段以及他們已知的目標平台。

主要目的：

• 了解攻擊者行為： ATT&CK 框架旨在幫助資安專業人員更好地理解攻擊者在現實世界中的行為模式和技術。
• 改進威脅偵測和防禦： 透過提供攻擊者技術的結構化視圖，ATT&CK 框架使組織能夠改進其威脅偵測和防禦能力。
• 促進資訊共享： ATT&CK 框架為安全社群提供了一種通用語言，用於共享威脅情報和最佳實務。

該框架如何幫助威脅情報分析？

ATT&CK 框架為分析師提供了一種通用語言，用於構建、比較和分析威脅情報。

威脅情報分析中的應用：

• 結構化威脅數據： ATT&CK 框架提供了一個結構化框架，用於組織和分類有關攻擊者技術和行為的資訊。
• 識別攻擊者趨勢： 透過將威脅數據映射到 ATT&CK 框架，分析師可以識別攻擊者技術和行為的趨勢和模式。
• 評估威脅暴露程度： 組織可以使用 ATT&CK 框架來評估其對特定攻擊者技術的暴露程度，並確定需要改進的領域。
• 開發偵測規則和對策： ATT&CK 框架可以幫助組織開發更有效的偵測規則和對策，以應對特定的攻擊者技術。

MITRE ATT&CK 與 Cyber Kill Chain 有什麼主要區別？

MITRE ATT&CK 和 Lockheed Martin 的 Cyber Kill Chain 都是用於描述網路攻擊階段的模型。 但它們有幾個關鍵的差異：

主要區別：

• Cyber Kill Chain 提出了明確定義的事件順序，而 ATT&CK 情景則根據具體情況定義所使用的技術。
• ATT&CK 幫助識別攻擊的具體執行方式，而 Cyber Kill Chain 則是一種更通用的攻擊識別方法。

許多資安專業人員更喜歡 ATT&CK 框架或兩者的混合解決方案，因為它提供了對攻擊者行為的更全面和細緻的理解。

Cyber Kill Chain

網路殺傷鏈的七個階段以及攻擊者和防禦者在每個階段的不同角色是什麼？

洛克希德·馬丁網路殺傷鏈 (Cyber Kill Chain, CKC) 框架於 2011 年開發，是一種情報防禦模型，用於識別和預防網路攻擊，特別是可以歸類為進階持續性威脅 (APT) 的攻擊。

Cyber Kill Chain 可以幫助 IT 資安團隊和專業人員制定戰略、產品和計畫，以在不同階段偵測和遏制攻擊，從而打造更安全的 IT 環境。

盛行多年，已成為描述網路攻擊如何發生的實際標準。

CKC 分為七個不同的階段，所有七個階段都需要完成才能成功發動攻擊。

Cyber Kill Chain階段：

1. 偵察 (Reconnaissance)：
   • 攻擊者： 惡意行為者將研究目標組織，通常使用主動和被動偵察方法，例如網域名稱記錄查詢、公開 IP 範圍端口、漏洞掃描、在社群媒體上搜尋員工等。
   • 防禦者： 資安團隊或防禦者在此階段進行的活動將採用前兆的形式，例如執行端口或漏洞掃描的 IP、被陌生人接觸的員工，以及可能在社群媒體上收到連接/好友請求的員工。
2. 武器化 (Weaponization)：
   • 攻擊者： 惡意行為者建立自己的後門程式，而不是購買現成的惡意軟體，並將此檔案託管在自己擁有的網域上。 然後，他們在 Microsoft Word 文件中編寫一個巨集，用於連接到攻擊者擁有的網域，並將惡意軟體下載到打開該檔案的系統。
   • 防禦者： 資安團隊極難偵測到這個階段，因為它並未發生在他們的環境中，因此他們無法看到組織外部發生的事情（網路威脅情報除外）。 應採用典型的防禦措施，例如防毒軟體、電子郵件安全性和系統強化。
3. 傳遞 (Delivery)：
   • 攻擊者： 惡意行為者利用從 OSINT 來源收集到的目標資訊精心製作了一封魚叉式網路釣魚電子郵件。 電子郵件中包含一個 Microsoft Office 文件，其中包含一個惡意巨集，該巨集將在目前登錄使用者的環境中運行惡意軟體。
   • 防禦者： 資安團隊應部署電子郵件防禦措施，例如附件沙箱，它應該能夠偵測任何惡意附件，例如立即執行的惡意二進制檔案或惡意 Word 文件或 PDF。
4. 漏洞利用 (Exploitation)：
   • 攻擊者： 惡意行為者發現了一個漏洞，如果被利用，可以為他們提供比目前受感染帳號更高的權限，從而為他們提供更多存取權限和執行更多操作的能力。
   • 防禦者： 資安團隊可以透過強化系統和執行漏洞管理流程來為這個階段做好準備，以識別和修復內部和外部存在的漏洞。
5. 安裝 (Installation)：
   • 攻擊者： 惡意行為者安裝後門程式並部署持久性策略和技術，以確保他們能夠在受感染系統中保持立足點，從而允許持續存取。
   • 防禦者： 資安團隊可以在可能受感染的主機上部署端點偵測和回應 (EDR) 軟體代理，以便偵測、調查和清除惡意程式。
6. 命令和控制 (Command and Control)：
   • 攻擊者： 惡意行為者安裝惡意軟體，在惡意行為者和遠端電腦之間打開一個通道，允許他們向惡意軟體發送命令，並嘗試獲得完成步驟 7（目標行動）的能力。
   • 防禦者： 這是防禦者完全阻止威脅的最後一步，防止命令執行是關鍵。
7. 目標行動 (Actions on Objectives)：
   • 攻擊者： 惡意行為者成功發動攻擊並獲得了鍵盤存取權限，他們現在能夠嘗試完成他們的任何目標。
   • 防禦者： 防禦者必須盡快偵測到這個階段，以防止造成進一步的損害，並最大限度地減少攻擊者完成其目標的時間。

為什麼有人認為網路殺傷鏈可能已經過時？有什麼替代方案？

說明網路攻擊如何運作存在其問題。駭客、國家和 APT 組織發動的攻擊會隨著時間而改變，而該模型並不能總是顯示攻擊是如何發生的。

許多資安研究人員指出，網路殺傷鏈在描述內部威脅方面做得不夠好，而且前兩個階段通常發生在防禦者的網路外部，這使得它們更難以偵測。

為了使該模型適用於更多場景，MITRE 將其 ATT&CK 框架與網路殺傷鏈相結合，開發了統一殺傷鏈 (UKC)。

UKC 由 18 個可能在網路攻擊期間發生的獨特攻擊階段組成，其中包括 CKC 遺漏的內容；例如網路內外的活動。與

最初的 CKC 類似，UKC 可用於分析和防禦來自 APT 的攻擊。

因此，儘管網路殺傷鏈仍然是一個重要的框架，但其他框架可能更合適。

歸因 (Attribution) 在資訊安全中的應用及其限制

在資訊安全領域中，歸因指的是什麼？

在資訊安全的範疇中，歸因指的是確定網路攻擊或入侵事件的原因或來源。

歸因並非單純為了追責，更重要的是收集資訊，

例如，新用戶可能無意間造成系統故障，這類事件會歸因於經驗不足，而非惡意行為。

機器歸因、人類歸因和最終責任歸因有什麼區別

• 機器歸因 (Machine Attribution): 將惡意網路活動歸因於一台或多台機器，意即識別攻擊中使用的機器。這通常需要檢查 IP 位址、記錄網路活動的日誌檔、登入機器的使用者等資訊。

  • 例如，我們可以找出攻擊中使用了 Azleon 的機器，但追蹤發現 Jupiter 的機器才是攻擊的發起點，這條軌跡上可能涉及多台機器。IP 位址可能位於另一個國家，需要進一步調查；如果 IP 位址指向 Azleon，則執法部門可以扣押該機器進行調查。

• 人類歸因 (Human Attribution): 將惡意活動歸因於人類，即找出負責該活動的人員身份，也就是實際按下鍵盤的人。技術鑑識著重於分析留下的數據，但可能無法提供更多幫助，因為憑證可能指向某人，但實際發動攻擊的可能不是此人。

  • 憑證可能會被盜用，機器也可能被入侵，單憑技術手段可能不足以識別涉案人員，因為收集到的數據需要與資料庫比對才能對應身份，因此效果取決於資料庫的完整性。如果能識別出責任人，很重要的是了解其動機，以及是否有其他涉案人員。

• 最終責任歸因 (Ultimately Responsible Attribution): 將惡意活動歸因於最終責任方，回答的是「誰應該為此負責？」的問題。行為者是單獨行動，還是代表某個組織或國家發動攻擊？

  • 在這裡，「動機」往往更為重要，因為人們可能被迫實施這些行為，或者處於無法拒絕的處境。執法部門可以決定起訴個人，國家也可以決定與違規國家進行外交談判，他們可能會將責任歸因於某個組織，並對其提起訴訟，甚至進行報復。

歸因過程中面臨哪些主要挑戰？

歸因是一個複雜且困難的過程，尤其是在攻擊者容易利用其他國家的代理伺服器的情況下。想要進行更深入、更持久的調查，需要與其他機構展開更多合作。

以下列舉歸因過程中面臨的一些主要挑戰：

• 虛假資訊： 攻擊者可能會偽造原始數據，例如來源 IP 位址、電子郵件數據、網域名稱、使用者名稱和註冊數據，以誤導調查人員。
• 匿名工具： 攻擊者可以使用代理伺服器、VPN 和 Tor 網絡等匿名工具隱藏其真實身份和位置。
• 基礎設施共享： 威脅行為者可能會共享基礎設施，例如使用受感染的殭屍網路或租用的伺服器，以增加歸因的難度。
• 工具和技術的混淆： 攻擊者可能會使用商業惡意軟體或現成的工具和技術，這些工具和技術被廣泛使用，難以追蹤到特定的攻擊者。
• 模仿攻擊： 攻擊者可能會模仿其他威脅行為者的工具、技術和流程 (TTP)，以混淆調查人員，讓他們誤以為攻擊是由另一個組織發起的。

理解痛苦金字塔 (Pyramid of Pain)

痛苦金字塔的概念是什麼？它如何幫助防禦者打擊威脅行為者？

痛苦金字塔是一種視覺化表示，說明了我們可以透過拒絕惡意行為者某些指標來造成多少痛苦，從而破壞他們的行動。 金字塔底部是行為者最容易改變的指標（請記住，我們可以透過編輯單個字元來改變惡意檔案的雜湊值！這可以繞過安全工具中基於雜湊值的封鎖），而頂部是最難改變的指標，透過理解和防禦他們在攻擊中使用的技術，迫使攻擊者改變他們的整個行動。

痛苦金字塔如何幫助防禦者：

• 優先順序： 金字塔幫助防禦者優先考慮他們的防禦工作，專注於更難改變的指標，從而對攻擊者造成更大的痛苦。
• 長期有效性： 針對頂層指標的防禦措施往往比針對底層指標的防禦措施更有效，因為攻擊者更難適應。
• 主動防禦： 透過了解攻擊者的 TTP，防禦者可以主動預測和阻止未來的攻擊。

從底部到頂部描述金字塔的六個層次

1. 雜湊值： 這是最容易改變的指標，例如透過稍微修改惡意檔案即可改變其雜湊值。
2. IP 位址： 攻擊者可以相對容易地更改 IP 位址，例如使用 VPN、Tor 或代理伺服器。
3. 網域名稱： 更改網域名稱比更改 IP 位址更困難，但仍然相對容易實現，特別是對於經驗豐富的攻擊者而言。
4. 網路/主機特徵： 這些指標包括攻擊者在受感染系統上留下的特定檔案、目錄或登錄檔項。 更改這些指標需要攻擊者修改他們的工具或技術。
5. 工具： 這些是攻擊者用於執行攻擊的特定軟體或腳本。 開發或獲取新工具比更改網路/主機特徵更耗時且更困難。
6. 戰術、技術和程式 (TTPs)： 這是攻擊者行為的最高級別抽象，代表了他們實現目標的整體方法。 迫使攻擊者改變他們的 TTP 是最困難的，因為這需要他們從根本上重新思考他們的攻擊策略。

為什麼戰術、技術和程序 (TTPs) 被認為是最難改變的指標？

TTPs 是攻擊者行為的基礎，反映了他們的技能、經驗和目標。 更改 TTPs 不僅需要攻擊者學習新技術，還需要他們放棄已建立的攻擊模式，這可能會很困難且耗時。

TTPs 難以改變的原因：

• 根深蒂固的習慣： 攻擊者通常會形成使用特定 TTPs 的習慣，因為這些 TTPs 在過去已經證明是成功的。
• 時間和資源限制： 開發和測試新的 TTPs 需要大量的時間和資源，這對於攻擊者來說可能是不可行的。
• 組織因素： 某些攻擊組織可能對其 TTPs 有著根深蒂固的偏好，這使得改變變得更加困難。

因此，透過專注於識別和破壞攻擊者的 TTPs，防禦者可以對攻擊者造成最大的痛苦，並更有效地保護他們的組織免受攻擊。

總結

作戰情報在網路安全中扮演著關鍵角色，透過識別入侵指標（IOCs）和威脅前兆，資安專家能夠及早發現潛在的攻擊並採取行動。透過應用 MITRE ATT&CK 和 Cyber Kill Chain 等框架，防禦者能夠深入理解攻擊者的行為模式，進一步提升防禦能力。

歸因技術則協助追溯攻擊源頭，儘管這是一個複雜且充滿挑戰的過程。痛苦金字塔則為防禦者提供了如何有效打擊攻擊者的策略，特別是在改變攻擊者的技術與行為模式時。對於藍隊來說，這些知識不僅能強化其防禦架構，還能主動預測並阻止未來的攻擊。

小試身手

1. 作戰情報的主要目的是什麼？

   • A. 計劃和執行攻擊
   • B. 收集與共享入侵指標
   • C. 進行內部審計
   • D. 儲存威脅數據
   • 答案: B

2. 痛苦金字塔的頂層代表什麼？

   • A. IP 位址
   • B. 雜湊值
   • C. 工具
   • D. 戰術、技術和流程 (TTPs)
   • 答案: D

3. Cyber Kill Chain 的哪個階段涉及攻擊者安裝後門並保持持續存取？

   • A. 偵察
   • B. 傳遞
   • C. 安裝
   • D. 命令與控制
   • 答案: C

4. STIX 是用來做什麼的？

   • A. 儲存漏洞資訊
   • B. 分享標準化的威脅情報
   • C. 計算入侵成功率
   • D. 加密網路通訊
   • 答案: B

5. 哪一個框架專注於了解攻擊者的技術與行為？

   • A. MITRE ATT&CK
   • B. Cyber Kill Chain
   • C. ISO 27001
   • D. NIST
   • 答案: A

藍隊看完文章後的下一步清單

1. 評估現有系統的安全狀態
   • 針對文章中提到的入侵指標，檢查系統是否存在相似的威脅跡象。
   • 確認是否已經部署適當的偵測和防禦系統，如端點偵測與回應（EDR）和防火牆。
2. 更新威脅偵測工具與規則
   • 將文章中提到的威脅指標 (IP、域名、檔案雜湊等) 加入威脅偵測系統。
   • 利用 STIX/TAXII 格式的威脅數據更新安全工具。
3. 員工安全意識培訓
   • 進行有關社交工程攻擊的培訓，特別是如何識別網路釣魚。
   • 教育員工了解威脅前兆，鼓勵他們報告任何可疑行為。
4. 進行內部滲透測試與模擬攻擊
   • 使用 MITRE ATT&CK 框架，模擬攻擊者的行為，評估公司防禦系統的有效性。
   • 進行滲透測試，找出防禦中的弱點。
5. 實施長期防禦策略
   • 建立針對痛苦金字塔頂層 (TTPs) 的長期防禦策略，專注於攻擊者難以改變的行為和技術。
   • 定期檢查並更新防禦策略，以保持對最新威脅的抵禦能力。