威胁情报入门十大必读清单

威胁情报已经成为现代网络安全防御体系的核心驱动力之一，但是广大网络安全人士对威胁情报本身的认知依然存在巨大的盲区和偏差。根据Cybersixgill的调查，虽然威胁情报正迅速成为包括漏洞管理在内的关键网络安全计划的中心，但三分之一的CISO认为威胁情报是他们最大的盲点。

对于有志于从事威胁情报分析工作的安全人士和寻找最佳实践的CTI团队来说，同样迫切需要在纷繁的信息噪音中快速定调，逐步建立扎实的威胁情报知识体系，而敏捷而精准的阅读，正是威胁情报快速入门的最佳路径。

以下，GoUpSec整理了多位国外威胁情报专家一致推荐的十大威胁情报入门阅读清单（包含资源下载链接）：

01、工业控制威胁情报

本论文的内容不仅仅是关于工业控制系统(ICS)，还提供了新手需知有关CTI的基本知识：威胁情报的定义、指标与分析、战术/运营/战略级别以及衡量威胁情报质量的“CART”方法。请不用担心该文的发布日期，好的CTI论文就像美酒，会随着年龄的增长而变得更好。

论文地址：

https://dragos.com/wp-content/uploads/Industrial-Control-Threat-Intelligence-Whitepaper.pdf

02、《情报分析心理学》

威胁情报分析往往需要分析人员跳出思维茧房，《情报分析心理学》一书解构了我们的思维方式。如果你想成为一名优秀的CTI分析师，必须了解自己的认知局限和偏见。理查兹豪雅(Richards Heuer)是认知偏差方面的大师，但他的著作却平易近人深入浅出，充满了示例、有趣的图表和清晰的解释。

论文地址：

https://www.cia.gov/library/center-for-the-study-of-intelligence/csi-publications/books-and-monographs/psychology-of-intelligence-analysis/PsychofIntelNew.pdf

03、基于对手活动和入侵杀伤链分析的情报驱动的计算机网络防御

洛克希德马丁公司的这篇论文的标题着实有点长，通常也被简称为“杀伤链论文”，这是有关“CTI框架三巨头”的任何分析师都不容错过的论文。即使你觉得杀伤链是老调重弹，也强烈建议你花一些时间仔细阅读这篇论文。查看指标的不同定义（因为这是情报社区热议的话题）以及经常被忽视的行动方案。论文中的入侵尝试示例也有助于那些自己从未参与过入侵分析的新分析师。

论文地址：

https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf

04、入侵分析

钻石模型是每个分析师都应该理解的简单但强大的模型，它是“三大”CTI框架中的第二个。即使您不在团队中使用它，了解入侵的各个环节也很有帮助。这篇论文还提供了很多有用的CTI基础知识，我们需要了解这些基础知识——查看其中许多的公理（例如Axiom7，它给出了高级持续威胁的一个很好的定义）。是的，这是一篇很长的学术论文，但保证你花在阅读上的时间最终会得到回报。

论文地址：

http://www.activeresponse.org/wp-content/uploads/2013/07/diamond.pdf

05、MITRE ATT&CK™的设计哲学

网络安全社区已经认可了ATT&CK框架的价值，该框架也是所有CTI分析师都应该熟悉的第三个框架，本文解释了ATT&CK背后的理念及其结构。阅读本文后，建议您前往Groups页面并浏览一些技术示例，进一步了解ATT&CK。

论文地址：

https://www.mitre.org/sites/default/files/publications/pr-18-0944-11-mitre-attack-design-and-philosophy.pdf

06、归因错误简史

这是一个重要的演示文稿，供新的分析师阅读和注意。真正归因于一个人是极其困难的，甚至归因于一个群体也很难。Sarah解释了一些在归因时要注意的常见错误。

论文地址：

https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1548105619.pdf

07、CTI团队目标

CTI团队的一个常见问题是完全没有抓住重点——CTI应该帮助CTI团队之外的人。确保CTI团队帮助支持决策制定的一种方法是创建需求。这篇论文不仅解释了需求是什么，而且还提供了实际示例来帮助您入门。需求并不一定是可怕的！

论文地址：

https://medium.com/@sroberts/cti-squadgoals-setting-requirements-41bcb63db918

08、威胁情报命名规范：威胁行为者及跟踪威胁的方式

与归因问题作斗争一样，命名攻击者的规范问题几乎是每个分析师的必修课。本文清楚地解释了为什么命名如此具有挑战性，以及为什么我们永远无法“就一个名字达成一致”。如果您能在CTI职业生涯的早期理解这一点，您将领先于同行并为自己省去很多烦恼。

视频地址：

https://www.youtube.com/watch?v=3CUNlgQBwc4

09、熊会在树林里撒尿吗？

有很多关于对手活动的博客文章、报告和演示文稿，但“熊会在树林里撒尿吗？”这篇文章尤其值得研读，因为它涵盖了CTI分析师应该知道的许多关键事情——Fancy Bear和Cozy Bear是谁，DNC如何违规，如何应用钻石模型，如何转向，以及如何通过大量相互矛盾的信息来弄清对手的所作所为。

论文地址：

https://sector.ca/wp-content/uploads/presentations17/Toni-Gidwani-Does-a-BEAR-Leak-in-the-Woods_14-Nov.pdf

10、美国威胁情报实践现状报告

这是Jared和卡内基梅隆软件工程研究所的团队精心编写和深入研究的报告。尽管它以美国为重点，但仍然是CTI团队寻找最佳实践的一个很好的入门读物。是的，这是一篇很长的文章，但是如果您花时间深入研究它，会发现能够了解很多关于CTI团队要避免的常见问题和最佳实践。

论文地址：

https://resources.sei.cmu.edu/asset_files/EducationalMaterial/2019_011_001_546590.pdf