攻击性威胁情报：红队视角下的 CTI 实战应用

向对手学习以改进实践

网络威胁情报（CTI）常被误解为仅仅是阅读威胁报告或追踪高级攻击者。实际上，尤其是其"网络"侧，常由缺乏技术背景的人员处理，这可能导致分析缺乏对攻击发生方式和真实世界技术应用的深度理解。

良好运用的 CTI 不应被动。它涉及使用历史数据、不断演变的事件模式以及红蓝队能力重叠，来理解对手的思维、行动和适应方式。通过指导防御设计、测试和演进，CTI 能有效加强组织的整体安全态势。与进攻性安全一样，最终目标不是炫耀或破坏（破坏常触发警报，因此避免与常态区分很重要），而是改进防御——所有红队实施的进攻性安全操作都是为了防御目的。

进攻性安全 ≠ 威胁情报？

技术圈内，进攻性安全与 CTI 间仍存在分歧。尽管威胁主导测试和红队操作日益受到关注，但进攻性威胁情报很少被作为独立学科讨论——但这应该改变。

这远不止于复制妥协指标（IoC）或阅读成品情报（fintel）报告。进攻性威胁情报意味着在技术层面理解对手行动，识别其工具和策略的变化，并将这些知识转化为能力开发，以改进我们作为攻击者进行红队操作的方式。它融入模拟规划、操作决策和控制验证，使红队不仅能像攻击者一样思考，还能理解攻击者在真实世界中如何演变以及如何被捕获。

弥合差距

传统 CTI 角色倾向于靠近防御侧。分析师生成报告指导蓝队或输入 SIEM 规则创建，而非理解攻击者技术并发现新方法。但对进攻团队同样有价值，关键区别在于如何应用和构建情报，利用被捕获的"坏演员"的知识（"坏"既指其非法目的，也指其被捕获的事实）。当 CTI 用于指导进攻模拟和对手模拟（这两个短语常互换使用，但实际不同）时，它成为力量倍增器，极大改进红队方法。

红队可以将其目标与真实攻击者在特定行业或特定动机下的行为对齐，以更好地测试蓝队并匹配真实世界预期，鼓励他们适应并理解今天足够好的可能明天就不够。这将练习从基本漏洞演示提升到更高级的威胁知情操作，迫使防御者解决检测和响应程序中的盲点，并鼓励蓝队保持领先一步，为红队发现的新兴技术开发检测，从而识别环境中的恶意行为。

了解你的敌人...及其动机

最佳操作员不止技术过硬。他们理解攻击者逻辑、动机和时机。知道如何利用某物是一回事，但理解对手何时会使用它、如何融入网络噪音以及他们追求什么结果，这才是区分优秀红队和伟大红队的关键。

对手是人。他们遵循激励，必要时走捷径。他们重用基础设施，采用公开发布的工具，有时留下操作错误。但他们也在创新并在组间分享知识。

通过仔细审查高级持久威胁、勒索软件操作者、访问经纪人和其他犯罪团体的策略，我们作为红队、对抗工程师和操作员能更好洞察真实攻击如何展开。我们学习他们如何链式利用弱点、利用差分段或目标被忽视的服务（如那个似乎没人在意的内部 Web 应用）。这种背景塑造红队操作方式，帮助他们模拟真实行为而非仅仅反复追逐域管理员等高价值访问。

理解威胁行为者目标还提供行业特定意识。知道哪些行业垂直领域被谁以何种技术 targeting，使团队能定制操作以实现最大相关性和真实性。

一个好例子可能是红队 targeting 组织的方式：传统社交工程->执行载荷并遍历内部网络可能并非总是最佳练习方式，而理解以特定职位角色为幌子让团队作为合法员工开始可能提供更好价值，以理解控制和检测中的差距同时保持真实性。威胁格局不断扩展，威胁行为者/对手使用的方法也在变化，就像宏被淘汰一样，不同类型的攻击者使用其他初始访问方法，且动机将决定他们如何攻击你的组织。

下图（我多年前制作）显示了攻击者动机和影响的增加，以及能力和普遍性的上升，如何映射到不同威胁层级。

我们可以看到各类威胁行为者的普遍性及其伴随的动机，以及能力与动机和影响的权衡在三角形尖端变得更尖锐。

CTI 作为进攻性安全专注专业者

CTI 的核心是在威胁打击前理解它们（或理解已发生的违规）。它涉及收集、分析和合成信息以揭示数字资产如何被破坏。但对红队而言，它不是关于指标，而是关于行为模式及其随时间演变的方式，以及如何采取现有技术并修改它们，如我描述的作为 timestomping 扩展的 Commit Stomping 示例。

理解威胁、违规和行为者使红队避免陷入总是追求相同目标和目的的陷阱。威胁知情操作员根据真实违规方式塑造攻击，而非每次追逐域管理员。这可能意味着 targeting 生产系统而非测试系统，或步出传统 Active Directory 以打击实际重要的数据存储。它可能意味着模仿间谍团体的缓慢、谨慎移动而非普通罪犯和勒索软件团体的大声、快速策略。有时，使用可能让你被捕获的技术正是重点——它迫使防御者正确反应并测试其响应计划。

虽然本文不专注于红队操作，但理解它及其如何与 CTI 对齐很重要。这种思维迫使防御者更深入查看。不再足够阻止哈希或 IP。他们必须理解意图、横向移动模式以及在特定条件下什么行为可能良性 versus 恶意。

情报主导的红队操作在所有参与领域创造更对抗的心态。从基础设施设置到载荷交付再到操作员的决策过程，一切都由真实对手的行为塑造。

CTI 也能揭示内部威胁

不仅是 APT、罪犯和勒索软件团体。CTI 还揭示内部风险，如内部威胁、滥用信任访问、差角色分离或高价值错误配置。这些通常更难检测，但可能与外部对手一样破坏性。

由目标威胁情报知情的良好红队练习可能模拟内部人员出售访问或使用合法访问进一步访问源代码或供应链等领域。了解内部威胁通常使用的工具允许组织为那些东西构建检测并再次理解差距可能存在的地方。

情报不是静态馈送：它是操作赋能器

CTI 不是静态的，良好情报应以流动方式操作。它不仅是另一个 PDF 或指示器馈送，被管道输入 SIEM 直到事态严重才被看到。当适当嵌入时，它成为操作组件，指导进攻操作如何规划和执行。

这是进攻性威胁情报显示其真正价值的地方。

使用它构建反映真实世界攻击者设置的基础设施，从域名、CDN 选择和使用 TLS 配置镜像目标，到载荷如何暂存（或无暂存）和交付。更好观察威胁行为者错误帮助你构建操作安全模型以避免它们并适应。理解对手如何 pivot，并应用那些教训测试客户的控制是否在响应中做任何有意义的事情，这是一个关键点，也是许多红队和进攻性安全专业人员错过的一点。

CTI 帮助将红队从运行工具的组转变为像对手一样行动的团队。它为现实参与设定基调，提供远不止漏洞列表。

最终 thoughts

CTI 锐化红队像对手一样思考的能力，更重要的是，以受控、可重复和可测量方式像他们一样操作。当与 grounded tradecraft 配对时，那种心态使红队能够提供真实价值，不仅通过证明某物可被利用，而且通过演示真实威胁行为者将如何 approach 它、为什么他们会 targeting 它以及他们可能保持未被检测多久。

最终，这不仅关乎知道威胁，而且关乎足够深入地理解它们以暂时成为它们，然后帮助防御者学习如何击败它们。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手