PGJACK1310/THREAT-INTELLIGENCE
GitHub: PGJACK1310/THREAT-INTELLIGENCE
一个系统讲解威胁情报理论框架与分级分类方法的知识库,帮助安全团队理解数据到情报的转化过程及不同层级情报在防御决策中的实际应用。
Stars: 1 | Forks: 0
# 威胁情报
威胁情报(Threat Intelligence, TI)是关于现有或新兴威胁的循证知识,可帮助组织做出明智的安全决策。它回答了三个问题:谁在攻击?他们如何攻击?他们为什么攻击?
- 威胁情报是关于现有或新兴威胁的循证知识——包括上下文、机制、指标和可行建议——可帮助您做出更快、更明智的安全决策。
1. 核心目标
在攻击发生前了解敌人
2. 关键输出
可行且及时的决策
3. 主要优势
缩短检测时间
## 原始数据 vs 信息 vs 情报
| 层级 | 示例 | 使用者 |
| ------------ | -------------------------------------------------------------------------- | --------------- |
| 原始数据 | 日志中发现的 IP 地址 `185.220.101.47` | 机器 / SIEM |
| 信息 | 该 IP 是一个 Tor 出口节点 | 分析师 |
| 情报 | APT29 使用该 Tor 出口节点外泄 HR 数据——进行封禁并进行横向 hunting | 决策者 |
### 为什么威胁情报很重要
- 主动防御
与其在违规事件发生后才做出反应,TI 不如让你通过了解攻击者的行为模式,在攻击发生之前进行预测和防范。
- 更快的响应
当安全事件发生时,预先构建的威胁档案能显著缩短平均检测时间(MTTD)和平均响应时间(MTTR)。
- 确定资源优先级
并非每个威胁都与您相关。TI 可帮助安全团队将精力集中在与您所在行业、地理位置和技术栈相关的威胁上。
- 高管报告
战略情报将技术风险转化为商业语言——帮助董事会理解网络安全投资决策。
### 情报三要素
|谁|什么与如何|为什么与何时|
|---|----------|----------|
|谁在针对您?哪些威胁行为者、组织、民族国家或犯罪组织构成了风险。|他们正在使用什么技术、工具和漏洞?他们是如何运作的——他们的 TTP 和攻击链。|他们的动机是什么——经济利益、间谍活动还是黑客行动主义?他们最活跃的时间是什么时候?|
# 威胁情报的类型
- 四个不同的级别——每个级别服务于不同的受众和目的
1. **战略情报**
- 战略情报是收集、分析和分发信息以支持高级别、长期决策的过程。与侧重于即时、日常运营的战术情报不同,战略情报着眼于“大局”。
- 它旨在识别长期趋势、新兴威胁和潜在机会,这些将在未来数年内影响一个组织或国家。
### 示例:勒索软件组织日益将医疗保健行业作为目标。本季度您的三家竞争对手受到了攻击。
2. **战术情报**
- 战术情报是收集、分析并用于支持即时、短期行动的信息。如果说战略情报是眺望地平线的“高功率雷达”,那么战术情报就是“一线人员”视角,可帮助您应对正在发生的情况。它高度具体、具有时间敏感性,并侧重于当前的运营。
- 示例:一名商店经理注意到突降暴雨,并立即将雨伞展示架移至前门,以吸引冲动消费的顾客。
3. **运营情报**
- 运营情报是宏观战略与即时战术之间的“中间地带”。它侧重于维持组织平稳运行的日常活动和流程。
战术处理单一时刻,战略处理遥远的未来,而运营情报则关注数天或数周内的当前趋势和表现。
- 示例:一位物流经理通过监控仪表板发现,本周由于道路施工,送货卡车 consistently 延误了 20 分钟,于是调整了本月剩余时间的出发时间。
4. **技术情报**
- 技术情报是收集和分析有关外国或竞争对手设备、武器和技术信息的专门过程。它侧重于底层的“事物是如何运作的”。目标是了解某项特定技术的能力、局限性和设计,以便您对其进行复制、防御或找到破坏它的方法。
- 示例:一名工程师分析了竞争对手应用程序使用的特定加密算法,以了解他们是如何保持用户数据如此安全的。
## 对比
| 类型 | 受众 | 时间跨度 | 技术水平 | 目的 |
| ----------- | ------------------ | ------------ | --------------- | ----------------------- |
| 战略 | 高管 / 董事会 | 月–年 | 低 | 预算与风险决策 |
| 战术 | 安全团队 | 周–月 | 中 | 防御架构 |
| 运营 | SOC / IR 团队 | 天–周 | 中-高 | 主动威胁响应 |
| 技术 | 分析师 / 工具 | 小时–天 | 高 | 检测与封禁 |
标签:APT防御, HTTP/HTTPS抓包, IOC指标, IP 地址批量处理, MTTD, MTTR, 代码示例, 后端开发, 威胁建模, 威胁情报, 子域名变形, 安全决策, 安全运营, 库, 应急响应, 开发者工具, 态势感知, 情报分析, 战术情报, 战略情报, 扫描框架, 攻击者画像, 数据分析, 智能体, 网络安全, 网络安全基础, 网络诊断, 运营情报, 防御加固, 隐私保护, 高级持续威胁