攻击性威胁情报
CTI不仅适用于蓝队。运用得当,它能锐化红队技术、使行动与现实威胁对齐,并暴露防御者常忽略的盲点。关键不在于了解威胁,而在于暂时"成为"威胁以帮助他人击败它们。
向对手学习以优化实践
网络威胁情报(CTI)常被误解为阅读威胁报告或追踪高级攻击者,但这忽略了本质。尤其是CTI的"网络"部分常由缺乏技术背景的人员处理,这可能导致分析缺乏深度,无法真正理解攻击发生的方式和技术的实际应用。
良好运用的CTI不应是被动的。它涉及使用历史数据、不断演变的事件模式以及红蓝队能力重叠,来理解对手的思维、行动和适应方式。做得好的CTI通过指导防御的设计、测试和演进,加强组织的整体安全态势。就像在攻击性安全中,最终目标不是为了炫耀或破坏(破坏常触发警报,因此避免与常态区分很重要),总体目标是改进防御——红队进行的所有攻击性安全操作都是出于防御目的。
攻击性安全 ≠ 威胁情报?
技术圈中,攻击性安全与CTI间仍存在分歧。尽管威胁导向测试和红队操作日益受到关注,攻击性威胁情报却很少被当作独立学科讨论——但这本该如此。
这远不止复制妥协指标(IoC)或阅读成品情报报告。攻击性威胁情报意味着在技术层面理解对手行动,识别其工具和策略的变化,并将这些知识转化为能力开发,以改进我们作为攻击者进行红队操作的方式。它融入模拟规划、操作决策和控制验证。这让红队不仅从思考像攻击者中受益,还从理解攻击者在现实世界中如何演变以及如何被捕获中受益。
弥合差距
传统CTI角色倾向于靠近防御侧。分析师生成报告指导蓝队或输入SIEM规则创建,而非理解攻击者技术并发现新 ones。但对攻击团队同样有价值。关键差异在于如何应用和构建情报,利用被捕获的"坏演员"的知识(“坏"既指其非法目的,也指他们被捕获的事实)。当CTI用于指导攻击模拟和对手模拟(这两个短语常互换使用,但实际不同)时,它成为力量倍增器,极大改进红队的方法。红队可以将其目标与真实攻击者在特定行业或特定动机下的行为对齐,帮助更好地测试蓝队,并适应现实预期,鼓励他们理解今天足够的可能明天就不够用。这将练习从基本漏洞演示提升到更高级的威胁知情操作,迫使防御者解决检测和响应计划中的盲点,并鼓励蓝队保持领先,为红队发现的新兴技术开发检测,从而识别环境中的恶意行为。
了解你的敌人…及其动机
最好的操作员不止技术过硬。他们理解攻击者逻辑、动机和时机。知道如何利用某物是一回事,但理解对手何时会使用它、如何融入网络噪声以及他们追求什么结果,这才将优秀红队与伟大红队区分开。
对手是人。他们遵循激励。必要时走捷径。他们重用基础设施、采用公开发布的工具,有时留下操作错误。但他们也在创新并在组间分享知识。
通过仔细审查高级持久威胁、勒索软件操作者、访问经纪人和其他犯罪团体的策略,我们作为红队、对抗工程师和操作员更好地洞察真实攻击如何展开。我们学习他们如何将弱点链在一起、利用不良分段或目标被忽视的服务(如那个似乎没人在意的内部Web应用)。这种背景塑造红队操作方式,帮助他们模拟现实行为而非仅仅反复追逐域管理员等高价值访问。
理解威胁行为者目标还提供特定行业和垂直意识。知道哪些行业被目标、由谁用何种技术攻击,允许团队定制操作以实现最大相关性和现实主义。
一个好例子可能是红队针对组织的方式:传统社交工程->执行负载并遍历内部网络可能并非总是最佳练习方式,而理解可能以特定职位为幌子将团队作为合法员工启动,可能在理解控制和检测差距的同时提供更好价值并保持现实主义。威胁格局不断扩展,威胁行为者/对手使用的方法也在变化,就像宏被淘汰一样,其他初始访问方法正被不同类型攻击者使用,且取决于动机将影响他们如何攻击您的组织。
下图(我多年前制作)显示攻击者动机和影响增加以及能力和普遍性上升如何映射不同威胁层级。
我们可以看到各类威胁行为者的普遍性及随之的动机,以及能力与动机和影响的权衡在三角形尖端变得更尖锐。
CTI作为攻击性安全专注专业人士
核心上,CTI是关于在威胁打击前理解它们(或理解已发生的违规)。它涉及收集、分析和合成信息以揭示数字资产如何被泄露。但对红队,它不是关于指标。它是关于行为模式以及这些模式如何随时间演变,以及如何采取现有技术并修改它们,如我描述为时间戳扩展的技术——提交戳(Commit Stomping)为例。
理解威胁、违规和行为者阻止红队陷入总是追求相同目标和目的的陷阱。威胁知情操作员不是每次追逐域管理员,而是根据真实违规方式塑造攻击。这可能意味着针对生产系统而非测试系统,或步出传统Active Directory以攻击真正重要的数据存储。它可能意味着模仿间谍团体的缓慢、谨慎移动而非普通罪犯和勒索软件团体的大声、快速策略。有时,使用可能让您被捕获的技术正是重点——它迫使防御者正确反应并测试其响应计划。虽然本文不聚焦红队,但理解它及其与CTI的对齐很重要。这种思维迫使防御者更深入查看。不再足够阻止哈希或IP。他们必须理解意图、横向移动模式以及在特定条件下什么行为可能良性 versus 恶意。
情报导向的红队在参与的所有领域创造更对抗的思维模式。从基础设施设置到负载交付到操作员的决策过程,一切都由真实对手的行为塑造。
CTI也能揭示内部威胁
不止关于APT、罪犯和勒索软件团体。CTI还揭示内部风险如内部威胁、滥用信任访问、不良角色分离或高价值错误配置。这些常更难检测,但可能与外部对手一样破坏性。
由目标威胁情报知情的良好红队练习可能模拟内部人员出售访问或使用合法访问进一步访问源代码或供应链等领域。了解内部威胁通常使用什么工具允许组织为那些东西构建检测并再次理解差距可能存在的地方。
情报不是静态馈送:它是操作赋能器
CTI不是静态的,良好情报应以流动方式操作。它不只是另一个PDF或指标馈送被管道输入SIEM再不见直到事态严重。当适当嵌入时,它成为操作组件,指导攻击性操作如何规划和执行。
这是攻击性威胁情报显示其真正价值的地方。
使用它构建反映真实世界攻击者设置的基础设施,从域名、CDN选择和通过TLS配置镜像目标到负载如何暂存(或无暂存)和交付。更好观察威胁行为者错误帮助您构建操作安全模型以避免它们并适应。理解对手如何枢轴并应用那些教训测试您客户的控制在响应中是否做任何有意义的事情是一个关键点,也是许多红队和攻击性安全专业人士错过的一点。
CTI帮助将红队从运行工具的组转变为像对手一样行动的团队。它为现实参与设定基调,提供远不止漏洞列表。
最终 thoughts
CTI锐化红队像对手一样思考的能力,且更重要的是以受控、可重复和可衡量方式像他们一样操作。当与扎实技术配对时,那种思维模式使红队提供真实价值,不仅通过证明某物可利用,而且通过演示真实威胁行为者将如何 approach 它、为什么他们会目标它以及他们可能保持未被检测多久。
最终,它不止关于知道威胁。它是关于足够深入地理解它们以暂时"成为"它们,然后帮助防御者学习如何击败它们。