網路威脅情資 (Cyber Threat Intelligence)

網路威脅情報部分來自於開源情報 (Open-Source Intelligence, OSINT) ，是一種通過收集、處理和關聯網路空間並產生情報[1]，包括從社群媒體、論壇、部落格、出版或商業等開放資料進行先進的分析技術應用，以成為不同與創新的角度解決現有問題的方法之一，由於社會互動日益依賴網際網路，具有不同動機的網路攻擊事件風險也日益劇增，如今開源情報已被組織用於網路安全防禦，被應用於滲透測試的足跡與組織或公司的預防性保護，將開源情報視為追朔和調查事件來源，利用數據挖掘技術將日常攻擊分析、關聯以決策資安事件回應，已成為過去幾年中至關重要的研究和實踐領域。

往後 30 天，我們會從理論的角度切入，介紹開源情報至威脅情報知識提取，並應用於幾個知名的開源威脅情資平台，為往後研究做深入探討與應用，包含建構屬於自己的威脅情資平台、使用情資平台提供的API撰寫腳本、情資交換、威脅事件分析等。

如今 OSINT 已被大多數組織廣泛採用來進行調查和打擊網路犯罪[2]，甚至可以說，我們從 Facebook、Twitter 等社群獲取到的一切資訊都是 OSINT 的應用，因此 OSINT 是一開始要探討的主題。

開源情報 (OSINT)

定義：開源情報[1]是一種透過收集、處理與關聯來產生知識點，從而在開放資料中受益。

就在 2022 年中，裴洛西訪台造成資安攻擊頻傳[3]，單日網路攻擊總流量超過 1.5 萬 GB，部分公關機關的網站出現異常，台大教務處網頁也遭到駭客入侵進行「網頁置換」，這種攻擊的產生可能是被入侵的伺服器因權限管控不良或系統漏洞等因素，使攻擊者取得主機或網站的控制權，展現台灣基礎設施防護仍有不足之處。

Covid-19 期間，Ponemon[4]研究發現勒索軟體對醫療機構發動攻擊，有71%的受訪者表示住院的時間更長、70%的上受訪者必須轉移到其他醫院，甚至醫療系統遭到癱瘓，造成患者死亡率提高。

以上兩個事件有防禦的方法嗎? 其中一個解法就是利用開源情報，如果我們可以提前掌握有哪位攻擊者，虎視眈眈對著我們重視的服務，或許就有可能避免類似的攻擊事件發生。

例如：

小明想要跟小美告白，什麼都沒有準備的情況下直接說「我喜歡妳」，被接受的成功率會是多少?

理論上，小美有可能會對小美說：你根本不了解我!

如果小明是個聰明的情資分析師，可能會先從小美的臉書(隱私為公開)的內文觀察小美平時可能會喜歡做什麼事情，如果是同學的身份就有機會以朋友的身份加入臉書好友(雖然只是同學），進一步取得設為朋友隱私的推文。

我們還能從推文照片裡的資訊，發現一些可能有趣的事情，像是周圍的建築物、好吃的料理等…，小明還發現，似乎小美有個好朋友 Sheng-Shan，在他的臉書中發現他有在經營網站 https://sectools.tw ，小美都會在他的文章底下按讚(並沒有)，可見小美可能也對資安有興趣…。

總之，小明利用開源情報獲取了小美的興趣、喜好的食物，透過共同話題切入認識小美，最終小美也在往後相處中更認識彼此，是不是有點像社交工程?

所以 OSINT 可以用來進行：

• 社會觀點和情感分析：從社群媒體上，獲取到的資訊可用於營銷、政治運動或是消磨時間…
• 數位證據與犯罪預防：OSINT可以協助或即時來發現非法行為、利用OSINT甚至可以追蹤恐怖組織的活動。
• 網路安全與網路防禦：OSINT 可以應用於滲透測試中的足跡，可對組織進行預防性保護，像是分析 log 進行資安決策等，在這個意義上，威脅情報可用於保護系統遭到網路攻擊。

因此，今天要談的主題是 …

OSINT 來源

只要是公開可以存取的資訊，例如：

• 多媒體：新聞、電視、報紙等。
• 社群網路：Facebook、Twitter、Instagram、Linkedin、Youtube 等，日常訊息是了解一個人或目標的最好來源，我們可以從中找到很多個人資訊。
• 政府公開資料：政府資料開放平台、國家高速網路與計算中心 – covid19 確診地圖
• 搜尋引擎：Yahoo、Google 等，只要輸入對應的關鍵字，就會回傳「可能」有價值的資訊，然而返回的結果可能都幾百萬、幾千萬筆，可能對使用者造成反作用，我們就可以利用 google hacking 來確保結果符合我們感興趣的主題，在往後章節我們會討論 OSINT 獲取工具與應用。
• 電子郵件、網域資訊等。

小結

本節引入一些故事，希望帶入一些生活事件來引導到威脅情資分析的主題上，實際上 OSINT 非常強大也具備挑戰性，大數據發展的情況下，如何從開源情報提取到有用的資訊是非常重要的，而提取到的資訊能夠幫助我們抵禦資安威脅，就是網路威脅情報，在第二天我們會繼續討論 OSINT 的工作流程。

參考來源
[1] J. Pastor-Galindo, P. Nespoli, F. Gómez Mármol and G. Martínez Pérez, “The Not Yet Exploited Goldmine of OSINT: Opportunities, Open Challenges and Future Trends,” in IEEE Access, vol. 8, pp. 10282-10304, 2020, doi: 10.1109/ACCESS.2020.2965257.
[2] M. Nouh, J. R. Nurse, H. Webb and M. Goldsmith, “Cybercrime investigators are users too! Understanding the socio-technical challenges faced by law enforcement”, Proc. 2019 Workshop Usable Security, Feb. 2019.
[3] 台視新聞網. 2022. 裴洛西訪台資安攻擊頻傳 唐鳳：單日攻擊流量為過去23倍. https://tw.stock.yahoo.com/news/%E8%A3%B4%E6%B4%9B%E8%A5%BF%E8%A8%AA%E5%8F%B0%E8%B3%87%E5%AE%89%E6%94%BB%E6%93%8A%E9%A0%BB%E5%82%B3-%E5%94%90%E9%B3%B3-%E5%96%AE%E6%97%A5%E6%94%BB%E6%93%8A%E6%B5%81%E9%87%8F%E7%82%BA%E9%81%8E%E5%8E%BB23%E5%80%8D-112158784.html
[4] Jercich, K. (2021). “Ponemon study finds link between ransomware, increased mortality rate.” from https://www.healthcareitnews.com/news/ponemon-study-finds-link-between-ransomware-increased-mortality-rate.

剩餘系列發佈於 IThome 2022 Security 鐵人賽 https://ithelp.ithome.com.tw/users/20151201/ironman/5132