1.1　网络威胁情报概述

本书的目的不在于深入探讨情报的不同定义和情报理论的多个方面的复杂问题，而是介绍情报流程[1]，以便在介绍网络威胁情报（Cyber Threat Intelligence，CTI）驱动的威胁猎杀和数据驱动的威胁猎杀之前，对CTI以及如何利用CTI流程有所了解。如果你对这些很熟悉，则可以直接跳过这一章。

如果要讨论情报学科的根源，我们可能可以追溯到19世纪，当时成立了第一个军事情报部门。我们甚至可以认为情报实践和战争一样古老，人类历史上有很多间谍故事，因为对战双方都想要占据上风。

一再有人说，要有军事优势，不仅要了解自己，还要了解敌人：他们怎么想？他们有多少资源？他们有多少武装力量？他们的最终目标是什么？

这种军事需求（特别是在两次世界大战期间）导致了我们所知的情报领域的演变和发展。已经有很多关于这方面的书和论文，如果你对这方面感兴趣的话，建议访问中央情报局（CIA）图书馆（https://www.cia.gov/library/intelligence-literature）的情报文献部分，在那里你可以找到几个关于这个主题的有趣讲座。

20多年来，精通这一领域的人们就情报的定义不断地进行着学术讨论。不幸的是，关于情报实践的定义仍没有达成共识。事实上，有些人认为情报技术是可以描述但不能定义的东西。在本书中，我们将摒弃这种悲观的观点，并参考艾伦·布雷克斯皮尔（Alan Breakspear）在其论文“A New Definition of Intelligence”（2012年）中提出的定义：

情报是一种能够表征企业及时预测变化并采取行动的能力。这种能力包括远见性和洞察力，旨在识别即将发生的变化，而这些变化可能是积极的，代表着机会，也可能是消极的，代表着威胁。

基于此，我们将CTI定义为网络安全中试图成为计算机和网络安全的一种主动措施的一门学科，自传统情报理论中发展而来。

CTI专注于数据收集和信息分析，能够让我们更好地了解组织面临的威胁，这有助于我们保护资产。任何CTI分析师的目标都是生成并提供相关、准确和及时的经过精心策划的信息——情报，以便接收情报的组织能够了解如何保护自己免受潜在威胁。

汇总所有相关数据产生的信息，通过分析将其转化为情报。然而，正如我们前面所说的，情报只有在相关、准确的情况下才有价值，最重要的是，它是否按时交付。情报的目的是为那些负责决策的人服务，这样他们就可以在知情的情况下进行决策。如果在必须做出决策前没有交付，那么情报就没有价值了。

这意味着，当谈论情报时，我们不仅指情报本身，还指使情报成为可能的所有过程。本章将详细介绍这一点。

最后，我们既可以根据专门研究某一特定课题的时间将情报分为长期情报和短期情报，也可以根据情报的形式将情报分为战略情报、战术情报或者运营情报。在第二种情况下，交付的情报会有所不同，这取决于它的具体接收人。

[1] 情报流程指从情报需求计划、收集等到处理、最终评价、反馈等的情报生命周期流程。——译者注

1.1.1　战略情报

战略情报为最高决策者提供信息，最高决策者包括CEO（首席执行官）、CFO（首席财务官）、COO（首席运营官）、CIO（首席信息官）、CSO（首席安全官）、CISO（首席信息安全官），以及需要这些信息的其他高管。战略情报必须帮助决策者了解他们面临的威胁。决策者应该正确地认识到威胁的主要能力和动机（中断、窃取专有信息、经济收益等），自身成为目标的可能性，以及由此可能产生的后果。

1.1.2　运营情报

运营情报主要提供给那些负责日常决策的人，也就是那些负责确定优先事项和分配资源的人。为了让他们更有效地完成这些任务，情报团队应该向他们提供有关哪些组织可能针对该组织以及哪些组织最近最活跃的信息。

可交付信息可能包括CVE和有关潜在威胁使用的策略以及技术的信息。例如，这些信息可以用来评估为某些系统打补丁或增加能够阻碍访问这些系统的新安全层及其他事项的紧迫性。

1.1.3　战术情报

战术情报应该交付给那些需要即时信息的人。接收者应该完全了解他们需要注意对手的哪些行为，才能识别可能针对组织的威胁。

在这种情况下，可交付信息可能包括IP地址、域和URL、散列值、注册表键、电子邮件工件等。例如，这些信息可用于为告警提供上下文，并评估是否值得让事件响应（Incident Response，IR）团队参与。

到目前为止，我们已经定义了有关情报、CTI和情报级别的概念，但是对于网络领域的“威胁”这个术语，又该怎么理解呢？

我们将威胁定义为有可能利用漏洞并对实体的运营、资产（包括信息和信息系统）、个人和其他组织或社团产生负面影响的情况或事件。

可以说，网络威胁情报主要关注的领域是网络犯罪、网络恐怖主义、黑客主义和网络间谍活动。所有这些有关团体都可以粗略地定义为利用技术渗透到公共和私人组织及政府中，窃取专有信息或对其资产造成损害的有组织的团体。但是，这并不意味着其他类型的威胁，如罪犯或内部人员，不在关注范围内。

有时，威胁行为体（threat actor）和高级持续性威胁（Advanced Persistent Threat，APT）这两个术语可以互换使用，但事实是，尽管我们可以说每个APT都是威胁行为体，但并不是每个威胁行为体都是高级的或持续性的。APT与威胁行为体的不同之处在于其高度的操作安全（OPerational SECurity，OPSEC），以及低检测率和高成功率。需要注意的是，这可能并不完全适用于所有APT组织。例如，有些组织会大肆宣扬其发起的攻击事件，因此它们无须在保持隐蔽方面投入太多。

要生成有价值的情报，重要的是使用明确定义的概念，方便你组织数据和生成信息。选择现有术语并非强制性要求，但为了促进威胁情报的标准化和共享，MITRE公司已经开发出结构化威胁信息表达式（Structured Threat Information eXpression，STIX）（https://oasis-open.github.io/cti-documentation/）。

因此，如果我们遵循STIX的定义（https://stixproject.github.io/data-model/），威胁行为体就是“被认为怀有恶意进行操作的实际个人、团体或组织”。任何威胁行为体都可以根据以下任意一项定义：

●类型（https://stixproject.github.io/data-model/1.1/stixVocabs/ThreatActorTypeVocab-1.0/）。

●动机（https://stixproject.github.io/data-model/1.1/stixVocabs/MotivationVocab-1.1/）。

●复杂度（https://stixproject.github.io/data-model/1.1/stixVocabs/ThreatActorSophistication-Vocab-1.0/）。

●预期效果（https://stixproject.github.io/data-model/1.1/stixVocabs/IntendedEffectVocab-1.0/）。

●参与的行动。

●战术、技术和程序（Tactics，Techniques，Procedures，TTP），见https://stixproject.github.io/data-model/1.2/ttp/TTPType/。

总而言之，网络威胁情报可作为一种工具，用来更好地洞察威胁行为体的兴趣和能力，应该让所有参与保护和指导组织的团队知道。

要生成良好的情报，有必要定义一组正确的要求，以了解组织的需求。一旦完成这第一步（需求定义），我们就可以确定团队应该关注的威胁的优先顺序，并开始监控那些可能将组织作为其目标的威胁行为体。避免收集不必要的数据能够让我们分配更多的时间和资源在重点威胁上，并将重点放在组织面临的更紧迫的威胁上。

正如凯蒂·尼克尔斯（Katie Nickels）在她的报告“The Cycle of Cyber Threat Intelligence”（2019年，https://www.youtube.com/watch?v=J7e74QLVxCk）中所说的那样，CTI团队将受其所处位置的影响，因此将其放在组织结构的中心位置将有助于团队支持不同的功能，如图1.1所示。

图1.1　CTI团队的中心角色

现在，我们来看一下情报周期。