前言

本篇文章將循序漸進地帶領讀者深入了解戰術威脅情報的各個層面：

1. 概念理解：首先闡明戰術威脅情報的基本概念，並將其與傳統安全方法進行比較，幫助讀者建立起對該領域的初步認識。
2. 核心流程：重點介紹暴露檢查和公開資訊暴露評估，這兩個流程是戰術威脅情報的核心，將協助讀者了解其實際操作過程。
3. 工具和應用：探討如何使用威脅情報平台 (TIP)，以及如何將威脅情報轉化為具體的防禦措施，讓讀者了解如何在實踐中運用這些技術。
4. 實施挑戰：討論在實施過程中可能遇到的困難與平衡問題，讓讀者對現實中的挑戰有更全面的認識。
5. 具體工具：以 MISP 作為案例，介紹具體威脅情報工具的應用，提供讀者實際操作的視角。
6. 組織層面挑戰：深入探討組織在建立威脅情報能力時可能面臨的挑戰，讓讀者從更宏觀的角度思考問題。
7. 個人能力：探討威脅情報分析師所需具備的技能與知識，幫助讀者找尋自身發展方向。
8. 未來展望：展望未來的發展趨勢，鼓勵讀者保持關注並持續精進。

戰術威脅情報與傳統資安防禦機制的比較：主動防禦 vs. 被動反應

戰術威脅情報 (TTI) 與傳統資安防禦機制方法的主要區別在於它們的主動性。

傳統資安防禦機制方法，例如防火牆和防毒軟體，主要側重於防範已知威脅，它們根據預先定義的規則來識別和阻止惡意行為。

但是這種被動的防禦策略在面對不斷演變的資安威脅時顯得力不從心，因為它無法有效應對未知威脅和零時差攻擊。

相反，TTI 採用主動的防禦策略。 TTI 分析師積極收集和分析與潛在威脅相關的情報，例如攻擊者的策略、技術、流程 (TTP) 以及威脅指標 (IoC)，以便預測和防範攻擊。

TTI 如何幫助組織應對資安威脅

• 及早發現威脅
  • 透過威脅暴露檢查，TTI 分析師可以利用 SIEM 和 EDR 等工具主動搜尋環境中是否存在已知的惡意指標。
  • 這種主動的威脅狩獵方式可以幫助組織在攻擊造成重大損害之前就發現並阻止它們。
• 了解攻擊者
  • TTI 分析師不僅關注攻擊指標，更重要的是分析攻擊者的行為模式、動機和目標。
  • 這些資訊可以幫助組織更好地預測和防範未來的攻擊。
• 制定針對性防禦策略
  • TTI 分析可以根據收集到的情報制定更具針對性的防禦策略。
  • 例如，如果 TTI 分析發現某個 APT 組織正在針對金融單位發起攻擊，則金融機構可以根據這些情報加強相關系統和應用程式的安全防護。
• 縮短事件回應時間
  • TTI 可以幫助組織在遭受攻擊時更快地做出反應。
  • 例如，如果組織已經掌握了攻擊者常用的 TTP 和 IoC，則可以在遭受攻擊時更快地識別攻擊來源和攻擊方式，從而更快地採取應對措施。

TTI 是一種主動的資訊安全方法，它透過收集、分析和利用威脅情報來幫助組織預測和防範攻擊。

與傳統的被動防禦方法相比，TTI 能夠更有效地應對資安威脅，提高組織的整體安全態勢。

威脅暴露檢查的過程及其重要性

威脅暴露檢查是分析師使用 SIEM 和 EDR 等多種工具，在企業環境中搜尋從情報供應商、資訊共享合作夥伴、政府警報或 OSINT 來源取得的任何威脅指標 (IoC) 的過程。

這項行為被認為是一項戰術性任務，因為它需要深入的技術理解才能分析來自多種不同工具的結果，以確定是否檢測到任何暴露，然後準確評估觀察到的內容，以便潛在地將其傳遞給資安分析師進行調查。

威脅暴露檢查的過程

1. 取得 IoC
   • 分析師從各種來源收集最新的 IoC，例如威脅情報供應商、資訊共享社群、政府警報和 OSINT 來源。
   • 這些 IoC 可能包括惡意 IP 位址、網域名稱、檔案雜湊值和攻擊者使用的其他技術指標。
2. 在資安工具與設備中搜尋 IoC
   • 分析師使用 SIEM 和 EDR 等資安工具與設備，在其環境中搜尋這些 IoC。
   • 分析師可能會搜尋記錄檔、網路流量(封包)和其他資料，以查找與 IoC 的任何配對的內容。
3. 分析結果
   • 如果發現配對的內容，分析師會分析結果以確定暴露的範圍和影響
   • 分析師將調查受影響的系統、攻擊者使用的技術以及被盜或洩漏的任何資料。
4. 採取行動
   • 根據分析結果，分析師將採取適當的行動來減輕威脅。
   • 這些行動可能包括封鎖惡意 IP 位址、刪除惡意軟體、修補易受攻擊的系統或採取其他安全措施以防禦未來的攻擊。

威脅暴露檢查對於識別潛在威脅的重要原因

• 主動防禦
  • 威脅暴露檢查使組織能夠主動識別和應對潛在威脅，而不是被動地等待攻擊發生。
  • 透過持續監控其環境中的 IoC，組織可以及早發現威脅並在造成重大損害之前採取行動。
• 及時應對
  • 透過定期執行威脅暴露檢查，組織可以更快地應對新出現的威脅。
  • 及時的應對對於最大程度地減少資安攻擊的潛在損害很重要。
• 改進安全狀況
  • 威脅暴露檢查有助於組織了解其目前的安全狀況，並識別需要改進的領域。
  • 透過分析威脅暴露檢查的結果，組織可以確定其防禦中的漏洞，並相應地調整其資安策略和控制措施。

小結

威脅暴露檢查是戰術威脅情報的關鍵組成部分，使組織能夠主動識別、分析和應對潛在威脅。
透過定期執行威脅暴露檢查並採取適當的行動來減輕已識別的風險，組織可以顯著提高其整體安全狀況並降低成為資安攻擊受害者的可能性。

公開資訊暴露評估中的關鍵領域及其風險

在進行公開資訊暴露評估時，分析師需要關注以下關鍵領域，
並評估這些公開資訊如何被攻擊者利用：

1. 社群媒體行為

• 關注重點
  • 員工在社群媒體上發佈的任何與公司相關的資訊
  • 例如辦公室照片、同事姓名、工作內容等
• 攻擊者利用方式
  • 取得公司內部資訊
    • 照片中的背景、電腦螢幕、白板等
    • 可能洩漏公司使用的作業系統、軟體、內部網路架構、甚至機密商業資訊
  • 定位公司位置
    • 照片的圖片原始資料(Metadata)可能包含 GPS 坐標
    • 讓攻擊者確定辦公室的確切位置
  • 發起社交工程攻擊
    • 攻擊者可以利用員工在社群媒體上發佈的個人資訊
      • 例如姓名、職位、興趣愛好
    • 可以讓駭客製作更有針對性的釣魚郵件或進行其他形式的社交工程攻擊

2. 員工洩漏資訊

• 關注重點
  • 任何可能被員工無意中洩漏的公司機密資訊
  • 例如
    • 會議照片中的白板內容
    • 螢幕截圖中的程式碼
    • 螢幕截圖中所開啟的瀏覽器標籤
    • 公開文件中的內部網路拓撲圖
• 攻擊者利用方式
  • 取得敏感資料
    • 攻擊者可以從洩漏的資訊中
      • 收集公司內部系統、應用程式、網路架構等資訊
    • 這些資訊被用於後續的攻擊行為
  • 繞過資安防禦機制
    • 洩漏的資訊可能包含系統漏洞、預設密碼、資安策略缺陷
    • 讓攻擊者更容易繞過公司的資安防禦機制

3. 內部威脅─員工

• 關注重點
  • 員工在公開平台上發表的任何可能暗示內部威脅的言論或行為
  • 例如
    • 對公司表達強烈不滿(抱怨等)
    • 威脅要報復公司
    • 洩漏離職計畫等
    • 洩漏公司內部資訊(拍照、截圖)
• 攻擊者利用方式
  • 招募內部人員
    • 攻擊者可以主動聯繫表達不滿的員工
    • 利用他們的負面情緒，誘使他們提供公司內部資訊或協助發動攻擊
    • 新聞：特斯拉前員工被駭客收買
  • 預測攻擊可能性
    • 員工的公開言論可以作為預警訊號
    • 幫助公司評估內部威脅的可能性，並採取預防措施

4. 品牌濫用和冒充

• 關注重點
  • 任何冒充公司或其員工的虛假網站、社群媒體帳號或其他線上行為
• 攻擊者利用方式
  • 損害公司聲譽
    • 攻擊者可以利用虛假帳號發佈負面消息、散播謠言
    • 損害公司聲譽並影響客戶信任
  • 進行釣魚攻擊
    • 攻擊者可以建立與公司官方網站非常相似的釣魚網站
    • 誘騙使用者輸入帳號資訊或下載惡意軟體

5. 資料洩漏

• 關注重點
  • 任何與公司相關的資料洩漏事件
  • 例如
    • 員工帳號資訊
    • 客戶資料
    • 公司內部文件
    • 情境：洩漏並在暗網公開出售
      • 華航今年又被駭！上百萬筆客戶個資流出 全被放上暗網出售
• 攻擊者利用方式
  • 竊取帳號資訊
    • 攻擊者可以使用洩漏的員工帳號資訊
      • 例如電子郵件地址和密碼
      • 嘗試登入公司系統或其他線上服務
  • 發起進一步攻擊
    • 洩漏的資料可能包含其他敏感資訊
    • 例如客戶資料、財務資料、智慧財產權等
    • 攻擊者可以利用這些資訊發起勒索、詐騙或其他形式的攻擊

小結

公開資訊暴露評估是戰術威脅情報的關鍵組成部分，透過識別和分析公司在網路上公開的資訊，並評估這些資訊如何被攻擊者利用，組織可以採取相應的措施來減輕風險，保護自身免受資安攻擊。

威脅情報平台 (TIP) 的功能和優勢

威脅情報平台 (TIP) 是一種用於管理大量資安威脅情報的軟體，例如攻擊者、行為、特徵碼、公告和策略、技術與流程 (TTP)。

TIP 可以協助分析師更有效地處理威脅情報，以下列舉 TIP 的主要功能和優勢：

1. 彙總和標準化來自多個來源的情報

• TIP 可以從各種來源自動收集和整合資料
  • 開源情報
  • 付費第三方情報
  • 政府情報
  • 信任的共享社群 (ISAC)
  • 內部情報
• TIP 能夠將不同來源和格式的情報標準化為統一的格式
  • 例如 STIX/TAXII、JSON、XML、電子郵件、CSV、TXT、PDF 和 Word 文件
  • 可以讓分析師能夠更輕鬆地搜尋、分析和關聯來自不同來源的情報

2. 與現有資安控制措施整合

• TIP 可以與防火牆、入侵防禦系統和端點防護控制等現有資安控制措施整合
• 透過將威脅情報傳遞給這些資安工具與設備
  • TIP 可以自動化阻止已知威脅的過程
  • 根據最新的情報更新資安策略

3. 分析和共享威脅情報

• TIP 提供了強大的分析工具，允許分析師搜尋、篩選、關聯和視覺化威脅情報。
  • MISP 提供了關聯引擎，可以自動發現惡意軟體、攻擊行為或分析中的屬性和指標之間的關係，包括屬性之間的關聯
  • 更進階的關聯，例如模糊雜湊關聯（例如 ssdeep）或 CIDR 對應
• 分析師可以使用這些工具來識別趨勢、模式和異常
  • 深入瞭解威脅情況
• TIP 還允許分析師在團隊內部以及與合作夥伴和其他組織共享威脅情報
  • 有助於提高整體安全態勢
  • 促進更有效地應對威脅

4. 自動化例行任務

• TIP 可以自動化許多例行任務
  • 如情報收集、處理、分析和共享
• 可以讓分析師能夠騰出時間專注於更重要的任務
  • 如威脅狩獵和事件回應

5. 提供集中式情報儲存庫

• TIP 為組織提供集中式儲存庫
  • 用於儲存與威脅情報相關的所有內容
  • 無論是技術性的威脅指標還是高階的態勢感知報告
• 這使得組織能夠更輕鬆地管理和存取其威脅情報
  • 確保所有利益相關者都能獲得最新情報

小結

TIP 提供了一個全面的平台，用於收集、分析、共享和應對威脅情報。

透過利用 TIP 的功能，分析師可以更有效地處理威脅情報，
改善威脅可見性、加強威脅檢測和回應能力，並最終提高組織的整體安全態勢。

將原始威脅情報轉化為可操作防禦措施的步驟與範例

將原始威脅情報轉化為可操作的防禦措施是一個關鍵的過程，
它使組織能夠主動地應對資安威脅。

以下步驟說明了如何實現這一目標，並提供了一個實際案例來說明該過程。

步驟

1. 收集原始威脅情報
   • 涉及從各種來源收集與組織相關的威脅情報
   • 威脅情報平台 (TIP)
     • 這些平台匯集來自多個來源的威脅情報
       • 例如 MISP、ThreatConnect、ThreatQ、Lookingglass、Insights 和 Anomali
     • 提供對參與者、行為、特徵碼、公告以及工具、技術和流程 (TTP) 等大量資安威脅情報的有效管理
   • 公開來源
     • 公開來源情報 (OSINT)
       • 例如資安相關部落格、論壇和社交媒體
       • 可以提供有關新興威脅和攻擊者行為的有價值的見解
   • 政府警報
     • 政府機構發布有關針對特定行業或地區的特定威脅和漏洞的警報
       • 美國電腦緊急應變小組 (US-CERT)
       • 台灣電腦網路危機處理暨協調中心 (TWCERT/CC)
       • 台灣學術網路危機處理中心 (TACERT)
       • 國家資通安全通報(N-CERT)
   • 資訊共享社群
     • 參與資訊共享和分析中心 (ISAC) 或其他行業特定社群
       • 國家資安資訊分享與分析中心(N-ISAC)
       • 科學園區資安資訊分享與分析中心(SP-ISAC)
       • 教育學術資訊分享與分析中心(A-ISAC)
       • 金融資安資訊分享與分析中心(F-ISAC)
     • 可以讓組織獲得有關其營運環境中威脅的更深入的見解
2. 分析情報
   • 收集到原始情報後，下一步是分析其信譽度、相關性和潛在影響
   • 驗證情報的來源
     • 確保情報來自可靠且值得信賴的來源很重要
   • 確定情報的相關性
     • 評估情報與組織的具體安全態勢的相關性
     • 例如他們使用的技術、所面臨的威脅以及其業務目標
   • 評估潛在影響
     • 分析情報對組織的潛在影響
     • 例如財務損失、聲譽損害或營運中斷
3. 將情報轉化為可操作的情報
   • 將原始情報轉化為特定安全控制和行動的關鍵步驟
   • 建立威脅指標 (IoC)
     • 從情報中提取可操作的 IoC
       • 惡意 IP 位址
       • 網域名稱
       • 檔案雜湊值
       • 攻擊者使用的特定程式碼片段
   • 制定偵測規則
     • 使用提取的 IoC 為建立偵測規則
       • 安全資訊與事件管理系統 (SIEM)
       • 端點偵測與回應 (EDR)
       • 入侵偵測系統 (IDS)
     • 這些規則有助於自動偵測和警報與情報相符的惡意行為
   • 更新資安策略
     • 根據情報調整資安策略以解決已識別的威脅
       • 實施更強的密碼策略
       • 修補易受攻擊的系統
       • 改進員工培訓計劃
4. 實施防禦措施
   • 根據可操作的情報，組織可以實施各種防禦措施
   • 封鎖惡意指標
     • 在防火牆、入侵防禦系統 (IPS) 或其他資訊資安工具與設備上封鎖已識別的惡意 IP 位址、網域名稱或 URL
     • 以防止對惡意基礎架構的任何連接嘗試
   • 偵測和回應威脅
     • 使用更新的偵測規則識別和應對環境中的任何惡意行為
     • 包括隔離受感染的設備、刪除惡意軟體或採取其他事件回應措施來減輕威脅
   • 強化安全態勢
     • 持續監控威脅情報來源，並相應地更新防禦措施
     • 定期執行威脅暴露檢查，以識別環境中與已知威脅的任何新暴露或對應

範例

讓我們考慮美國電腦緊急應變小組 (US-CERT) 發布了一份關於被積極利用的特定漏洞 (漏洞 X) 的警報。該警報包括與漏洞利用嘗試相關聯的一系列 IP 位址。

1. 收集： 您的威脅情報團隊會收到並查看 US-CERT 警報以及提供的 IoC（惡意 IP 位址）。
2. 分析： 團隊分析情報，驗證其來源（US-CERT），並確定其與組織的相關性。由於漏洞 X 影響組織使用的系統，因此該情報被認為是相關的。
3. 轉化： 該團隊提取惡意 IP 位址，並將其格式化為 SIEM 平台的可操作 IoC，其中儲存了來自邊界防火牆的記錄檔。
4. 實施： 在 SIEM 平台中建立警報，以便在過去 7 天內從這些 IP 位址偵測到任何掃描或列舉行為時通知安全團隊。此外，這些 IP 位址會被添加到監視清單中，以便在 SIEM 平台中持續進行威脅暴露檢查。如果觀察到進一步的可疑行為，則會考慮實施 IP 封鎖以防止進一步的漏洞利用嘗試。安全團隊還會與漏洞管理團隊合作，優先修補受影響的系統，並降低被漏洞利用的風險。

威脅情報處理流舉例

1. 收集原始威脅情報

威脅情報平台 (TIP) 舉例

假設一家金融機構使用 MISP (Malware Information Sharing Platform) 作為其主要的威脅情報平台。

MISP 是一個開放式平台，可以匯集並共享來自多個來源的威脅情報。

1. 威脅情報來源
   • 金融機構從其他合作的金融機構獲得分享的威脅情報
     • 例如，來自國際銀行的釣魚攻擊案例
   • 資安廠商提供的定期威脅摘要
     • 包含最新的釣魚攻擊趨勢和惡意軟體分析報告
   • 政府機構的警報通知
     • 例如TWCERT/CC發布的勒索軟體攻擊警告
2. 具體情報舉例
   • MISP 接收到一條有關針對金融機構的釣魚攻擊情報
     • 攻擊者使用偽造的銀行信件標頭發送電子郵件
     • 電子郵件內附有一個惡意的 Excel 附件
     • 該附件含有惡意程式碼，可以竊取使用者的登入憑證

公開來源舉例

資安團隊定期監控公開來源（OSINT），
這些來源提供了關於潛在威脅的早期告警。

• 公開來源
  • Reddit 上的 r/netsec 論壇
    • 使用者分享了一個新發現的 WordPress 外掛程式漏洞
    • 這可能影響金融機構網站的安全
  • Twitter 上的多位資安研究員討論
    • 針對一個 Windows 系統的零日漏洞，並分享攻擊向量
  • Krebs on Security 資安部落格
    • 發表了一篇關於新興勒索組織的深度分析文章
    • 指出這個勒索組織的最新攻擊手法

政府警報舉例

台灣的 N-CERT 發布了一則針對大規模攻擊的緊急警報，
該警報內容是關於針對台灣政府和企業的一系列資安攻擊活動。

• 告警內容
  • 攻擊使用進階的持續性威脅 (APT) 技術
  • 包含攻擊者使用的 IP 地址列表和惡意軟體樣本的雜湊值
  • 這些情報警告金融機構需要立即更新防火牆規則，並進行APT攻擊偵測

資訊共享社群舉例

組織參與金融資安資訊分享與分析中心 (F-ISAC)，
定期從行業內部共享情報，以提升防禦能力。

• 資訊共享案例
  • F-ISAC 會議中，一家大型銀行分享他們最近遭遇的 DDoS 攻擊細節，指出攻擊流量來源和使用的工具
  • 共享的資訊包括 DDoS 攻擊流量的特徵和緩解策略，並建議其他銀行採取特定的防禦措施，如流量過濾器和流量限制

2. 分析情報

以 MISP 中的釣魚攻擊情報為例，
資安團隊需要對情報進行詳細分析，以判斷其可信度和相關性。

驗證情報的來源

1. 資安團隊首先確認這些情報是來自一家全球知名的資安公司，該公司過去提供的威脅情報一直具有高度可靠性
2. 驗證該公司提供的相關案例報告，顯示他們已成功阻止過類似的釣魚攻擊

確定情報的相關性

1. 團隊仔細檢查組織的電子郵件系統設定，發現目前使用的垃圾郵件過濾器可能無法有效阻擋這種類型的新釣魚郵件
2. 鑑於金融機構經常成為釣魚攻擊的目標，該情報與組織的安全需求高度相關，需要優先處理

評估潛在影響

1. 團隊分析後認為，若此攻擊成功，可能導致
   • 客戶敏感資料洩漏，例如銀行帳號資訊或登入憑證
   • 財務損失，可能超過 100 萬美元
   • 組織聲譽受損，客戶對該金融機構的信任可能減弱，進而影響業務發展
2. 鑑於這些可能的後果
   • 資安團隊將該威脅標記為高風險，並進一步調查具體應對策略

3. 將情報轉化為可操作的情報

依據 MISP 中的釣魚攻擊情報，將其轉化為具體的安全措施和操作。

建立威脅指標 (IoC)

從情報中提取以下具體的 IoC（威脅指標）

1. 釣魚郵件發件人地址：phishing@fake-bank.com
2. 惡意附件檔名：QuarterlyStatement.xlsx
3. 惡意檔案的 MD5 雜湊值：5f4dcc3b5aa765d61d8327deb882cf99
4. 命令和控制 (C2) 伺服器 IP 地址：192.168.1.100

這些 IoC 可以立即用於組織的防火牆、電子郵件過濾器和防毒軟體中，
以防範已知的威脅。

制定偵測規則

根據提取的 IoC，在 SIEM 系統中設定偵測規則：

1. 電子郵件監控：如果郵件來自 phishing@fake-bank.com，立即觸發高優先級警報。
2. 附件偵測：如果收到或下載名為 QuarterlyStatement.xlsx 的附件，立即執行自動隔離並觸發警報。
3. C2 連接封鎖：如果任何系統嘗試連接到 IP 地址 192.168.1.100，立即阻擋連接並發出警報。

這些規則可以自動化偵測和回應潛在的威脅，減少人為干預時間。

更新資安策略

根據該威脅，更新組織的安全策略：

1. 電子郵件安全加強：優化電子郵件過濾器，增加附件掃描的強度和靈敏度，對 Excel 文件進行特別關注。
2. 員工資安培訓：新增一節關於這種類型釣魚攻擊的培訓，提醒員工不要隨意打開未知來源的電子郵件附件。
3. 雙因素身份驗證：為防止憑證被竊後的進一步破壞，實施雙因素身份驗證，增加登入過程中的安全性。

4. 實施防禦措施

根據前面分析的資訊，資安團隊將具體的防禦措施實施到現有的基礎架構中，以確保可以及時偵測並阻止威脅。

封鎖惡意指標

1. 電子郵件設定
   • 封鎖釣魚郵件
     • 在電子郵件過濾系統中新增規則
     • 將來自 phishing@fake-bank.com 的所有郵件自動封鎖阻止攻擊者利用釣魚郵件誘騙員工
   • 隔離惡意附件
     • 設定電子郵件內容過濾器，任何包含附件 QuarterlyStatement.xlsx 的郵件將自動隔離
     • 防止員工無意間打開該惡意文件
     • 可減少勒索軟體或憑證竊取的風險
2. 防火牆設定
   • 阻擋 C2 伺服器連接
     • 在防火牆中新增規則
       • 阻止內部設備與 IP 地址 192.168.1.100 的所有進出連接
     • 有效防止內部系統與攻擊者的命令和控制伺服器進行任何通訊
       • 減少攻擊者取得進一步控制權的可能性

偵測和回應威脅

1. SIEM 監控
   • 24/7 全天監控
     • 設定 SIEM 系統進行全天候監控
     • 持續偵測來自 phishing@fake-bank.com 的郵件、QuarterlyStatement.xlsx 附件以及內部系統嘗試連接至 192.168.1.100 的行為
   • 自動生成警報
     • 當 SIEM 偵測到上述可疑活動時，立即觸發高優先級警報
     • 警報將包括具體的時間、來源、目標以及偵測到的具體活動
     • 資安團隊可以立即進行相應處理
2. 回應步驟
   • 隔離受感染設備
     • 如果 SIEM 偵測到內部系統嘗試與惡意 IP 地址建立連接
       • 系統會立即隔離該設備，阻止進一步的惡意活動擴散
     • 隔離後，資安團隊可以對該設備進行深度分析
       • 確認感染來源並進行修復
   • 惡意文件分析
     • 當檢測到有 QuarterlyStatement.xlsx 附件的郵件
     • 除了自動隔離外，SIEM 會將該附件送至沙箱環境進行分析
     • 以確認是否包含未知惡意程式碼，並即時更新防護策略
3. 日誌審查與行為分析
   • SIEM 日誌分析
     • 每日或每週自動分析所有日誌資料
     • 確保所有設備的活動符合正常行為
     • 分析系統會檢查是否存在不尋常的登入嘗試、異常流量、文件加密或刪除等行為
   • 行為異常警報
     • 如果分析結果顯示某些活動異常，SIEM 會自動生成異常行為報告
     • 將提供額外的分析依據，幫助資安團隊針對潛在的威脅進行回應

偵測後的取證與報告

1. 數位取證分析
   • 資安團隊在偵測到威脅後，將會對受影響的設備進行數位取證，下載並分析相關日誌資料
     • 查明威脅的來源、入侵路徑，以及是否有資料被外洩
   • 團隊會檢查是否有其他系統同樣受到了攻擊或威脅
     • 並依據分析結果進行更大範圍的隔離或修復
2. 取證報告與內部通報
   • 完成取證後，資安團隊將撰寫一份完整的取證報告
     • 詳細說明事件的發現、分析過程、受影響的系統範圍及可能造成的影響
   • 該報告將提交給管理層，並在必要時通知內部相關部門或客戶
     • 特別是當涉及資料洩漏或重大業務中斷時
     • 必須即時通報受影響方並提供後續行動指引

強化安全態勢

1. 定期更新威脅情報
   • 資安團隊每日檢查 MISP 和 F-ISAC 等威脅情報共享平台的最新更新
   • 確保所有新的威脅指標 (IoC) 及時加入到現有的防護策略中
   • 並隨時調整監控規則
2. 內部釣魚攻擊模擬
   • 每季進行針對釣魚攻擊的內部演練
   • 測試員工的應變能力和資安防護措施的效果
   • 資安團隊會根據模擬結果調整相關防禦措施
   • 並提供反釣魚攻擊的最新培訓
3. 事件回應演練
   • 每季進行一次事件回應演練，確保當偵測到威脅時
   • 團隊能迅速反應並實施適當的防禦措施
   • 這些演練應包括設備隔離、日誌分析、資料洩漏預防等
4. 員工資安意識提升
   • 定期進行資安培訓
   • 特別針對釣魚攻擊、社交工程等威脅進行模擬演習
   • 提升全體員工的資安意識，減少因人為失誤導致的風險

透過這些全面的實施措施，資安團隊可以有效地應對威脅情報，
並且確保威脅被即時偵測、處理與修復，從而減少對組織的影響。

總結

戰術威脅情報（TTI）是一種主動式的資訊安全策略，能夠幫助組織預測和防禦各類資安威脅。本文詳細介紹了 TTI 的基本概念、核心流程、工具與實際應用，並探討了組織在實施過程中可能遇到的挑戰及其應對策略。

透過運用 TIP 平台以及進行公開資訊暴露評估，企業能夠提升安全意識，並將威脅情報轉化為具體的防禦措施。此外，本文還強調了分析師應具備的個人能力，並對 TTI 的未來發展進行了展望。

藉由本文內容，讀者可以更深入理解如何在動態的資安環境中應用 TTI 來增強組織的整體防護能力。

小試身手

問題 1：戰術威脅情報（TTI）與傳統資安防禦機制的主要區別是什麼？

A) TTI 更側重於防範已知威脅
B) TTI 是被動反應，而傳統資安防禦是主動防禦
C) TTI 採用主動防禦策略，分析潛在威脅
D) 傳統防禦機制無法應對任何威脅

答案：C
解析：TTI 與傳統防禦方法的主要區別在於，TTI 採用主動防禦策略，積極收集與潛在威脅相關的情報，而傳統防禦方法側重於防範已知威脅，較為被動。

問題 2：威脅暴露檢查的主要目的是什麼？

A) 搜尋企業環境中的已知威脅指標 (IoC)
B) 修補漏洞
C) 制定公司資安政策
D) 發現新型惡意軟體

答案：A
解析：威脅暴露檢查的主要目的是利用 SIEM 和 EDR 等工具，在企業環境中搜尋已知的威脅指標，進行主動防禦。

問題 3：以下哪一個是公開資訊暴露評估的關鍵領域？

A) 資產管理
B) 社群媒體行為
C) 雲端基礎架構
D) 硬體更新

答案：B
解析：公開資訊暴露評估的關鍵領域之一是社群媒體行為，員工在社群媒體上洩漏公司相關資訊可能被攻擊者利用。

問題 4：威脅情報平台 (TIP) 的主要功能不包括哪一項？

A) 彙總來自多個來源的情報
B) 自動化阻擋惡意流量
C) 提供集中式情報儲存庫
D) 修復系統漏洞

答案：D
解析：威脅情報平台 (TIP) 的主要功能包括彙總情報、自動化任務和提供情報儲存庫，但不直接負責修復系統漏洞。

問題 5：分析師將原始威脅情報轉化為可操作防禦措施的第一步是什麼？

A) 分析信譽度
B) 收集原始威脅情報
C) 實施防禦措施
D) 制定安全策略

答案：B
解析：將原始威脅情報轉化為防禦措施的第一步是收集來自各種來源的威脅情報，這是後續分析和應對的基礎。

撰寫藍隊看完之後的下一步

在深入理解戰術威脅情報 (TTI) 的概念與應用後，藍隊的下一步應包括以下幾個重點行動：

1. 實施威脅暴露檢查：利用 SIEM 和 EDR 等工具，針對企業現有環境中的威脅指標進行全面檢查，及時發現潛在的資安風險。
2. 建立威脅情報平台 (TIP)：若尚未引入 TIP 平台，應優先考慮部署 MISP 等開源平台，彙集、標準化並自動化處理威脅情報，提升威脅可見性。
3. 定期進行公開資訊暴露評估：持續檢查公司在網路和社群媒體上的資訊暴露，並加強員工的資安意識，避免洩漏敏感資訊。
4. 強化防禦策略：根據最新的威脅情報更新防禦規則，完善釣魚攻擊、APT 以及其他常見攻擊向量的防護策略，並加強日常監控。
5. 員工培訓：加強針對釣魚攻擊、社交工程等威脅的培訓，並透過模擬攻擊來測試員工的反應能力，提升全體資安意識。

藉由這些措施，藍隊可以在更短的時間內識別並應對潛在威脅，強化組織的資安防護態勢。