网络空间战之情报侦察

情报概述

古有孙子兵法的知己知彼，百战百不殆；围绕“道——天——地——法——将”开展

下面大致说一下现如今情报是怎样的？

情报：前期信息收集、资产测绘、情报收集、情报侦察等的统称，通常需要被收集、处理、分析、辅助决策者做出正确行动。

---

进阶到网络空间领域，情报指网络空间情报（Cyber Intelligence） ；在现如今激烈的攻防态势下，我们通常研究网络威胁情报（Cyber Threat Intelligence ），简称：CTI

网络战的本质即为情报战，情报贯穿于整个攻防周期

情报分类

基于情报来源

公开情报

私密情报

基于使用对象

战略情报

作战情报

战术情报

基于内容特征

人工情报（HUMINT）

信号情报（SIGINT）

图像情报（IMINT）

特征情报（MASINT）

地理情报（GEOINT）

情报生命周期（六步骤——三阶段）

六步骤

方向：确定行动目标与情报计划

收集：根据情报计划，最大化收集情报

处理：将收集到的情报进行存储与标准化

分析：对情报进行分析与研究，得出情报结果

传播：将结果输出情报报告，传播给情报用户

反馈：收集情报的用户反馈，进入下一个情报周期

三阶段（二二划分）

侦察阶段——被动/主动、公开/私密、手工/自动化；Nmap、Shodan、Google、Maltego等

分析阶段（如何处理）——标准化、数据化、可视化；IOC、MISP、OpenCTI

应用阶段——情报报告、情报产品、情报工具；CSV、JSON、XML、PDF、DOC等

情报与渗透测试执行标准框架

 情报与网络杀伤链（Cyber Kill Chain）

 情报与MITRE ATT&CK框架

 

---

情报侦察概述

情报侦察（Reconnaissance，Recon）：也称为信息搜集，即根据行动目标，通过公开或私密的渠道，采用被动或主动的方式，对目标对象进行搜集、挖掘、分析等。

 

被动和主动侦察的区别：是否与目标对象进行直接交互；被动侦察较为隐蔽，不对目标造成影响，但获取到的情报较浅（搜索引擎）；主动侦察容易暴露目标，可能对目标造成影响，获取的1情报内容较为深入（扫描器）

OSINT（Open Source Intelligence）：基于公开渠道的情报侦察方式

情报侦察图解 - 互联网 vs 深网 vs 暗网

情报侦察图解 - 情报侦察 vs 开源情报侦察

情报侦察阶段

目标资产枚举：主要用来列出能够被直接接触或者简单分析即可获得的资产信息

资产属性关联：通过分析资产清单后，得出的与某个资产信息有所关联的其他信息

资产攻击面分析：通过搜集到的资产信息，联合已知攻击技术进行威胁建模的过程。

威胁建模

是一个知己知彼的工程方法，用于识别潜在的威胁和建议，进而帮助降低风险并在开发生命周期早期实现安全目标

了解威胁建模框架、方法和工具可以帮助你跟好的识别、量化和排除面临的威胁

常见的威胁建模方法论有STRIDE、Trike、OCTAVE 等。

情报侦察内容

 情报侦察工具相关站点

搜索引擎类

 

威胁侦察类

 漏洞侦察类

 IP侦察类

 域名侦察类

 扫描侦察类

 人物侦察类

 组织侦察类

 图片侦察类

 地理侦察类

私密侦察类