网络空间情报战-原理篇
情报的概述、定义、分类
情报 = 军事 + 网安 + 数据
情报的定义
- 情报是一种有用信息,通常需要被搜集、处理、分析,辅助决策者做出正确行动。
- 基于攻防两方,情报可分为我方情报(Friendly Intelligence )和威胁情报(ThreatIntelligence ) 。
- 网络空间领域,情报指网络空间情报(Cyber Intelligence ),在当前激烈攻防态势下,通常是研究网络威胁情报(Cyber Threat Intelligence ),简称CTI。
- 网络战的本质就是情报战,情报贯穿于整个攻防周期,谁掌握了情报,谁就占据主动权。
情报的分类
情报生命周期、步骤阶段
情报生命周期
- 方向∶确定行动目标与情报计划
- 收集∶根据情报计划,最大化收集情报
- 处理∶将收集到的情报进行存储与标准化
- 分析:对情报进行分析研究,得出情报结果
- 传播∶将结果输出情报报告,传播给情报用户
- 反馈︰收集情报的用户反馈,进入下一个情报周期
- 侦察阶段:OSINT Shodan Googel Virustotal Maltego Nmap
- 分析阶段:STIX TAXII CybOX IOC TTP MISP OpenCTI
- 应用阶段:CSV JSON XML HTML PDF DOC CRIS YETI
情报的应用、平台、产品
情报在网络安全模型中的应用
渗透测试执行标准PTES
情报与网络杀伤链CKC
情报与ATT&CK
威胁情报平台(TIP)
CRITS
MISP
MISP(恶意软件信息共享平台)是一个开源工具,用于在受信任成员社区内共享有针对性的恶意软件和攻击的妥协指标(IOC)。它是一个包含技术和非技术信息的分布式IOC数据库。交换这些信息应该能够更快地检测到目标攻击并提高检测率,同时还可以减少误报数量。
下载地址:https://github.com/MISP/MISP/releases
OpenCTI
OpenCTI是一个开源平台,允许组织管理他们的网络威胁情报知识和观察结果。它的创建是为了结构化、存储、组织和可视化关于网络威胁的技术和非技术信息。