威胁情报的定义

一、威胁情报的定义

目前被引用最多的威胁情报的定义是2014年Gartner在其 《安全威胁情报服务市场指南》（Market Guide for Security Threat Intelligence Service）中提出的：

“威胁情报是一种基于证据的知识，包括了情境、机制、指标、隐含和实际可行的建议。威胁情报描述了现存的、或者是即将出现针对资产的威胁或危险，并可以用于通知主体针对相关威胁或危险采取某种响应。”

1.1 战略情报

战略级情报为总结型的信息，站在全局的角度，为决策层提供参考。通常为行业总览、攻击趋势等比较宏观的报告。

1.2 可操作情报

可操作情报是针对特定组织即将发生的攻击的情报。例如一国外黑客组织最近针对国家重点单位的侦查变多，可能最近会发起对该重点单位的攻击。这一类的情报可能更容易被国家级别的情报收集单位收集到，普通的公司和个人很难接触到相关的信息。通过对开源公开情报进行分析和卧底私密的聊天论坛（irc 或 telegram）可能也能得到这一类的情报。

1.3 战术情报

战术情报通常指 Tactics, Techniques, and Procedures (TTPs)，TTPs 是用来描述攻击者如何进行攻击的，即攻击者的方法，工具和策略。提供给甲方安全负责人和应急响应人员用于防御，告警，并在被攻击后的调查中使用。

常见的 TTPS 包括：

• 一个木马家族的特征

• 一个特定木马变种的相关信息

• 特定的攻击手法

• 攻击者使用的基础设施信息（例如病毒使用的 c2 ip）

• 攻击的目标信息

等等。

例如攻击者们在做内网渗透时会使用 Minikatz 和魔改过或者混淆过的 Minikatz 来提取凭证（通常为 NTLM）进行爆破或者进行横向移动(Lateral movement)。横向移动中可能会使用 PsExec 或者 WMI 接口进行 pass the hass 操作，如果没有本地管理员权限也可能使用 pass the ticket 进行攻击。这种信息即战术情报。

通过配置策略防止域管理员登陆，以及使用SOC的流量探针或者 IDS 设置监控流量中的 PsExec 行为并配置相关的规则对该类行为进行监控。（关于 windows 横向移动攻击可以参考 《甲方安全建设之Windows横向移动攻击的检测》 和 《域渗透-Pass-The-Hash的实现》）

战术情报通常是通过读公开的报告，对样本和组织进行分析，以及和别的厂商交换情报中获得。

1.4 技术情报

技术情报(Technical Threat Intelligence) 是特定恶意软件的指标（hash、域名、ip），是用于机读的可以用于自动化检测、分析的信息，相对来说 TTPs 主要是人读的情报。

技术级情报又可以称为失陷检测指标即 IOC (Indicator Of Compromise)，正如其名字，失陷检测指标即为可以用于提供给用户检测系统是否已被恶意软件或者攻击者攻陷，如果在系统内发现了这些指标即表明系统已被攻陷。

二、 威胁情报的层次

广义的威胁情报中，按获取难度、准确度、信息量从低到高，依次为 :

• 恶意文件的 hash

• 主机特征（主要为 windows平台）：互斥体、运行路径、注册表项

• 网络特征：ip、域名、url、通信协议

• 事件特征（TTPs）：恶意团伙使用的技术手段，同一个团伙可能会使用类似的手段，可以作为定位团伙的证据

• 组织：基于事件特征证据和其他信息，可能会分辨出多个攻击事件背后的同一个组织，并判定组织的来源、分工、资源状况、人员构成、行动目标等要素。

• 人员情报：定位到攻击背后虚拟身份对应的真实人员身份，定位到人也就定位到了威胁的根源(比如定位了病毒的作者并掌握了证据即可实施抓捕)。

层次越高、有效时间越长的情报越难以获取。相对来说， TTPS 和 IOC（主机、网络特征，恶意文件 hash）等数据获取相对容易但是失效时间也更短。

其中文件样本 hash 和主机特征、网络特征都可以通过沙箱和数据分析等自动化手段生成。文件 hash 只需要攻击者修改文件的一两个字节便可修改，所以失效的速度是最快的，用于检测时更多是使用的是主机特征和网络特征。

其中主机特征（mutex、运行路径、命令行特征、注册表项）主要结合终端上的 EDR 产品使用。如果安装有终端 EDR 产品再结合 SOC 等安全大数据存储分析系统，安全效果最好。但是国内的现实情况是，除了腾讯、华为、阿里等等大型科技公司或者金融等安全意识较高的公司，很少有企业在办公环境和服务器环境中部署有终端EDR产品。

网络特征（ip、域名）可以应用于网络边界的流量检测系统中，如 IDS 类系统，也可以和 SOC 类系统联动，检测多种设备当前及过去的安全情况。

基于主机特征和网络特征做聚类分析，以及通过各个维度的相似度即可以将同一家族的恶意软件分类到一起。再根据 IOC 的上下文信息，找到攻击者的攻击攻击方法或者样本传播的渠道。这些信息即 TTPs 。

收集了多个独立家族和攻击样例后，可能可以分辨出多个家族背后是同一个团伙。例如同一个团伙可能会有自己开发的工具，或者固定的传播渠道，根据这些 TTPs 信息可能能够分析出背后的团伙。

在分析出组织后，通过受影响的地区、行业和普通用户能够大致分析出攻击者的目标群体，再辅以对样本包含的语言特征或者样本的伪装形势分析。也能大致查明攻击者的攻击目标和目的，在结合现实中的新闻等信息可以大概推断出攻击者的来源。

从对样本的分析开始，逐步收集技术手段等更多信息，最后定位到组织和其攻击目的这一过程，在 APT 攻击分析中有完整的体现。