1.5　处理与利用

一旦收集到数据，就必须对其进行处理和利用，以将其转化为情报。提供的IOC必须带有上下文信息，其相关性和可靠性也必须得到评估。

解决这一问题的一种方法是将数据拆分成桶（bucket），并利用可用的框架来寻找模式。

我们将快速回顾三个最常用的情报框架：Cyber Kill Chain®（网络杀伤链）、钻石模型和MITRE ATT&CKTM框架（详见第4章）。

1.5.1　网络杀伤链

由洛克希德·马丁（Lockheed Martin）公司开发的Cyber Kill Chain®是一种识别威胁行为体为实现其目标应遵循的步骤的方法。

它有七个不同的步骤：

1）侦察：使用非侵入性技术了解受害者。

2）武器化：生成要交付的恶意有效载荷。

3）交付：交付武器化的工件。

4）利用：利用漏洞在受害者系统上执行代码。

5）安装：安装最终的恶意软件。

6）命令与控制（C2）：在受害者系统上建立与恶意软件通信的通道。

7）对目标采取行动：通过完全访问和通信，攻击者可以实现其目标。

有人批评这个模型（见图1.6）不足以描述一些现代攻击的工作方式，但与此同时，它也因界定了可以阻止攻击的点而受到称赞。

图1.6　洛克希德·马丁公司的Cyber Kill Chain®

1.5.2　钻石模型

钻石模型为我们提供了一种跟踪入侵事件的简单方法，因为它能帮助我们确定入侵事件所涉及的原子元素。它包括四个主要特征：对手、基础设施、能力和受害者。这些特征通过社会政治和技术轴线联系在一起，如图1.7所示。

图1.7　钻石模型

1.5.3　MITRE ATT&CK框架

MITRE ATT&CK框架是一个描述性模型，用于标记和研究威胁行为体为了在企业环境、云环境、智能手机甚至工业控制系统中站稳脚跟和操作而能够执行的活动。

ATT&CK框架的魔力在于它为网络安全社区提供了一个通用的分类法来描述对手的行为。它可以作为一种共同语言，进攻性和防御性研究人员都可以使用它来更好地理解对方，并与该领域的非专业人员进行交流。

最重要的是，你不仅可以在你认为合适的时候使用它，而且还可以在它的基础上自己构建一套战术、技术和程序（TTP）。

14种战术被用来涵盖不同的技术集。每种战术都代表一个战术目标，也就是威胁行为体表现出特定行为的原因。每种战术都由一组描述特定威胁行为体行为的技术和子技术组成。程序是威胁行为体实现特定技术或子技术的具体方式。一个程序可以扩展为多种技术和子技术，如图1.8所示。

现在，我们来看偏见与分析。

图1.8　企业矩阵