第十九课 威胁情报共享与运营

威胁情报运营

在威胁情报运营人员发挥着关键作用，他们是决策者与技术人员之间的桥梁。他们必须了解战术层面的威胁情报，以便将其适当地传达给决策者，他们还必须了解决策者的需求和语言，以便将要求转化为战术层面的人员。他们确定知识差距、组织团队、确定人员培训和要求，并确定和启动合作伙伴和同行之间的威胁情报共享。

情报与红蓝对抗

在威胁情报的运营层面，与防御者的需求的沟通非常重要；在这种情况下，我们基本上是通过选择一个活动组来阐明防御策略，网站展示了 XENOTIME 所使用的技战术。这可以帮助防御者思考他们需要在预防、检测和基于响应的控制方面做些什么来应对这种攻击方式，这也可以用于桌面应急演练、红蓝对抗等。

合作伙伴和协作

与合作伙伴建立协作说起来容易做起来难，但这对于正确开展威胁情报至关重要。如前所述，我们每个人都面临着偏见和知识差距；拥有合作伙伴并与他人（有时甚至是竞争对手）合作可以克服这些问题。本节其余部分的重点是 OSINT 收集，因为它在课堂上比如何与组织建立合作伙伴关系更明显，但两者同样重要。合作伙伴关系通常涉及与某人会面、开始对话并获得适当的保密协议，以便开始建立这种关系。良好的非正式合作机会通常以恶意软件分析和威胁分析电子邮件分发和私人电子邮件组的形式存在。

国家级政府信息

政府信息通常通过刑事调查、公私合作以及根据美国第 50 条规定对外国目标进行情报收集获得。美国境内人员获取政府信息的两个主要地点是美国计算机应急响应小组 (CERT) 和 FBI 的 InfraGard。两者都允许组织加入并获取有关当前威胁和趋势的敏感报告和对手。当组织期望从这些来源获取所有信息时，通常会对这些组织提出批评。相反，这些政府组织应仅作为额外的信息来源。要建立强大的威胁情报计划，需要私人合作伙伴关系和内部数据收集。

ISAC 和 ISAO

信息共享和分析中心 (ISAC) 是 1998 年根据总统决定指令 63 发起的一项工作，旨在在民间和政府部门之间共享威胁信息。许多行业在被视为关键基础设施时都会设立 ISAC。ISAC 是与行业内其他人共享信息的好方法，同时接收有关您所在行业特定威胁的信息。每个 ISAC 都有一个网站，您可以访问并了解有关它们的更多信息。运营威胁情报决策者应寻找与其行业相关的 ISAC（如果有）。如果没有与业务运营相关的 ISAC，现在可以寻找 ISAO。奥巴马总统于 2015 年发布了第 13691 号行政命令，建立了被确定为信息共享和分析组织 (ISAO) 的非政府组织。ISAO 是国土安全部的一项举措，旨在鼓励私人社区共享以及私营部门和政府部门之间的共享。它们是被允许组建并获得保护其数据的指定机构，同时被允许与政府共享信息并从政府那里获取有用的信息。ISAO 扩展了 ISAC 的概念，并允许 ISAO 将其信息视为受保护的关键基础设施信息，从而保护信息免遭泄露，包括通过《信息自由法》或《阳光法案》。这还意味着信息不受监管和民事诉讼的影响。但是，也存在一些问题。分析师应该意识到组织如何通过收集和共享信息来树立声誉。建议仔细观察 ISAO，并根据声誉和与组织希望了解的威胁类型的匹配程度来决定是否参与。

什么是 STIX/TAXII？

STIX/TAXII 是一项旨在缓解和预防网络威胁的全球计划。该组织由美国国土安全部 (DHS) 于 2016 年 12 月发起，目前由 OASIS 管理，OASIS 是一家非营利组织，致力于推动互联网开放标准的开发、采用和融合。结构化威胁信息表达 (STIX) 是一种标准化语言，它使用基于 JSON 的词典以可读且一致的格式表达和共享威胁情报信息。它类似于通用语言如何帮助来自世界各地的人们进行交流。只不过 STIX 不是用于人与人之间的对话，而是用于系统之间交换网络威胁信息。STIX 提供了一种通用语法，因此用户可以根据威胁的动机、能力、能力和响应来一致地描述威胁。可信自动情报信息交换 (TAXII) 是传输威胁情报数据的格式。TAXII 是一种传输协议，支持通过超文本传输协议安全 (HTTPS)传输 STIX 洞察。需要注意的是，STIX 和 TAXII 是独立的标准。STIX 不依赖于特定的传输方法，而 TAXII 可用于传输非 STIX 信息和数据。 STIX/TAXII 结合使用时，形成了一个共享和使用威胁情报的框架，创建了一个开源平台，允许用户搜索包含攻击媒介详细信息（例如恶意 IP 地址、恶意软件签名和威胁行为者）的记录。