威胁情报基本概念介绍

Threat Intelligence/Cyber Threat Intelligence/CTI，威胁情报

Threat intelligence is evidence-based knowledge,including context, mechanisms, indicators, implications and actionable advice, about an existing or emerging menace or hazard to assets that can be used to inform decisions regarding the subject's response to that menace or hazard.

威胁信息和威胁情报的区分没有很严格的标准，一般来讲，威胁信息指的是未经整理的关于威胁的知识，威胁情报是威胁信息经过分析之后，能够提供（可执行的）响应建议的知识。

TTP

Tactics, Techniques, and Procedures 攻击策略、技术和处理流程。

IOC

Indicators of Compromise 失陷指标，IOC常被用在调查取证的场景下，指的是受害主机被攻破的证据，包含恶意文件哈希值，恶意软件的特征，恶意的ip地址、url、域名等被动识别的信标。

IOA

Indicators of Attack 攻击指标，IOA一般用在威胁狩猎的场景下，侧重于检测攻击者的攻击意图的主动检测的信标，有助于检测到未知的威胁。

Risk

风险等级是指面临损失或破坏的可能性。是一个威胁、漏洞和损失的综合信标。信誉类情报可以通过Risk等级标记IOC的威胁程度，可以让情报使用者制定相应的策略实现对恶意攻击的检测和对恶意流量的告警/阻断。

Threat Actor

威胁主体，被认为是怀着恶意目的行动的个人、团体或组织。

• ATT&CK总结了很多恶意组织的基本信息，并将ATT&CK攻击矩阵进行了映射

  • https://attack.mitre.org/groups/
  • 01.png

• 360威胁情报中心，美工还贴心的对每个APT组织绘制了相应的logo

  • https://apt.360.cn/aptlist
  • 05.png

• 奇安信威胁情报平台也收集了一批恶意APT组织信息，中文命名挺骚，还有些首次披露的APT组织信息，其中大多数还是从360时期继承过来的

  • https://ti.qianxin.com/apt/
  • 02.png

STIX

STIX（Structured Threat Information expression，结构化威胁信息表达式）由MITRE联合DHS（美国国土安全部）发布，是用来交换威胁情报的一种语言和序列化格式。目前最新版本为STIX 2.1（2021年11月23日）

参考链接

官网：https://oasis-open.github.io/cti-documentation/
STIX 2.1规范文档PDF： https://docs.oasis-open.org/cti/stix/v2.1/os/stix-v2.1-os.pdf

TAXII

Trusted Automated eXchange of Indicator Information 可信自动情报信息交换是一个信息交换的标准，用于跨产品、服务和组织边界来共享网络威胁信息。它是 STIX 结构化威胁信息的传输工具。可以通过C/S结构，或者使用发布订阅模式进行信息交换。

03.png

参考链接

https://oasis-open.github.io/cti-documentation/taxii/intro

Vulnerability漏洞/弱点/脆弱性

A mistake in software that can be directly used by a hacker to gain access to a system or network.

可能被黑客利用来访问系统或网络的软件缺陷。

Tool 工具

Legitimate software that can be used by threat actors to perform attacks.

威胁主体用于实施攻击的合法软件。

ATT&CK进行了收集总结：https://attack.mitre.org/software/

04.png

Threat Actor威胁主体/攻击者

Threat Actors are actual individuals, groups, or organizations believed to be operating with malicious intent.

被认为是有恶意目的个人、团体或组织。

Report报告

Collections of threat intelligence focused on one or more topics, such as a description of a threat actor, malware, or attack technique, including context and related details.

威胁情报报告侧重于一个或多个主题，例如对威胁行为者、恶意软件或攻击技术的描述，包括上下文和相关细节。

Observed Data可观测数据

Conveys information about cyber security related entities such as files, systems, and networks using the STIX Cyber-observable Objects (SCOs).

使用STIX网络可观察对象（SCO）传输有关网络安全相关实体的信息，如文件、系统和网络。

Malware Analysis 恶意软件分析

The metadata and results of a particular static or dynamic analysis performed on a malware instance or family.

对恶意软件实例或家族执行的特定静态或动态分析的metadata和评估结果。

Malware恶意软件

A type of TTP that represents malicious code.

一种表示恶意代码的TTP。

Location位置

Represents a geographic location.

表示地理位置。

Intrusion Set入侵集合

A grouped set of adversarial behaviors and resources with common properties that is believed to be orchestrated by a single organization.

由单个组织协调的一组具有同样恶意行为和资源的集合。

Infrastructure设施

Represents a type of TTP and describes any systems, software services and any associated physical or virtual resources intended to support some purpose (e.g., C2 servers used as part of an attack, device or server that are part of defence, database servers targeted by an attack, etc.).

一种TTP，描述为了达到某些目的而提供支撑资源，例如系统，软件服务和物理/虚拟主机。（例如：攻击中被使用的C2服务器，防御方的设备和服务，受到攻击的目标的数据库服务等）

Indicator指标/信标

Contains a pattern that can be used to detect suspicious or malicious cyber activity.

包含可用于检测可疑或恶意网络活动的信标。Indicator指能够检测到可疑或者恶意行为的信标，通常包含IOA（Indicator of Attack）和IOC（Indicator of Compromise）两个分类。前者是主动发现攻击的信标，后者是被动的信标。

Identity身份

Actual individuals, organizations, or groups (e.g., ACME, Inc.) as well as classes of individuals, organizations, systems or groups (e.g., the finance sector).

实际的个人、组织或团体（如ACME，Inc.）以及个人、组织、系统或团体所属类别（如金融部门）。

Grouping

Explicitly asserts that the referenced STIX Objects have a shared context, unlike a STIX Bundle (which explicitly conveys no context).

Course of Action 处置建议

A recommendation from a producer of intelligence to a consumer on the actions that they might take in response to that intelligence.

情报生产者就消费者可能针对该情报采取的行动向消费者提出的建议。对应ATT&CK矩阵中的Mitigations（缓解措施）

Campaign攻击活动

A grouping of adversarial behaviors that describes a set of malicious activities or attacks (sometimes called waves) that occur over a period of time against a specific set of targets.

一组对抗行为，描述在一段时间内针对特定目标发生的一组恶意活动或攻击。

Attack Pattern攻击模式

A type of TTP that describe ways that adversaries attempt to compromise targets.

TTP（攻击方法）的一种，用于描述威胁主体尝试攻击目标的方法。对应ATT&CK矩阵中的techniques概念