威胁情报驱动:F3EAD 之传播

时间:2019-09-22 08:00:01 来源:河池生活 当前位置:美美的故事了也 > 中超 > 手机阅读

一次性进群,长期免费索取教程,没有付费教程。

教程列表见微信公众号底部菜单

微信群回复公众号:微信群QQ群460500587



微信公众号:计算机与网络安全

ID:Computer-network

调查总有结束的时候,这样就有足够时间为其他团队或企业形成有效输出。我们将这一梳理、发布和分享已开发情报的过程称为传播。与其他各类技能一样,传播能力的培养需要时间和流程。即使情报再出色,也可能毁于糟糕的传播。相对于几个小时的分析工作,写点儿东西似乎没什么了不起,但是,任何情报团队都应该集中精力,建立自己的信息传播能力。


传播是一项重要的能力,对于较大规模的情报团队,可能会在传播阶段投入专门的资源。这些以传播为主业的分析人员需要以下方面的能力:


深入理解整体流程及所共享信息的重要程度;

准确把握接收情报的利益相关方的类型和需求;

行文训练有素,文笔流畅;

着眼于业务安全,能够保护宝贵的情报产品和材料。


无论你的团队是如何组建的,是靠一个人兼任CERT分析人员和情报分析人员,还是有大型专门团队,都需要建立写作、采编流程并定期练习。传播以及成果的书面产出(被称为情报产品)一定要与分析成果相匹配。此外,糟糕的情报产品会使出色的分析成果毫无价值。


下面将介绍如何创建情报产品,并在你的企业范围内分发。我们将着重说明如何建立有效的写作结构和过程,引起受众的重视,并使他们付诸行动。


一、情报客户的目标


了解情报客户的需求,就了解情报客户的目标。通常情况下,只有认真观察受众,仔细揣摩他们的需求,才能做到这一点。从情报产品的风格、结构到时间窗口,几乎全部内容都被这两个方面所涵盖。了解情报产品的目标,就是要了解利益相关方期望从中得到什么。例如,将攻击者的TTP告知SOC,这就是一个共同的目标。这就需要针对具有深度技术背景的受众(也称为“目标清单”),提供短小精悍的战术情报产品。


情报团队需要找出哪种情报产品能满足客户。这就是为什么需要客户明确提出对产品的需求。在与团队合作创建情报产品时,这一点特别有用。确定的目标才有共同的愿景。


二、受众


受众也被称为客户,任何情报产品的目标都与受众紧密联系在一起。目标的执行与你正在为其撰写产品的利益相关方有着内在的联系。每个情报写手和团队都必须清楚自己在为谁撰写情报,因为只有这样,才能保证写出来有用的具有操作性的情报产品。这并不是一蹴而就的,你的受众也会改变,会成长,会学习。


例如,某企业的CEO可能具有很好的技术背景,可以理解并陶醉于深度技术报告。这可能会彻底改变情报团队所采取的方法。只有了解受众,才能更有效地预测问题和需求。管理团队在听到某个话题后,提出的问题会与SOC分析人员完全不同。


虽然情况总在变化,客户也各有不同,但总能找到一些共性的规律。典型的客户分类包括管理人员或领导、内部技术人员和外部技术人员。


1、管理人员/领导类客户


多数分析人员最怕给行政领导、首席某某官或董事会这类受众展示或提供情报产品。在很大程度上是由于这类领导的权威,以及主要领导经常要为严重情况(如重大侵害或威胁)做出通报这一事实。


如何量化那些无法量化的内容


在给管理人员/领导类客户撰写情报文章时,特别是关于战略的话题时,往往需要对那些无法量化的内容进行量化。要做到这一点,我们需要一种以相对方式来描述抽象概念的语言。


中情局图书馆有一篇很好的文章,不仅提供了答案,还提供了情报界解决这一问题的过程——被称为概率估计词汇。中情局给出了一系列具体词汇及其精确含义,可用于描述确定性和不确定性。


这些词汇如下:


确定(Certainty):100%可能性

几乎确定(Almost certain):93%可能性(上下浮动6%)

可能(Probable):75%可能性(上下浮动12%)

一半可能(Chances about even):50%可能性(上下浮动10%)

大概不是(Probably not):30%可能性(上下浮动10%)

几乎肯定不是(Almost certainly not):7%可能性(上下浮动5%)

不可能(Impossibility):0%可能性


这里提供了客户可以理解的大致范围,以及对应的可量化的百分比,并可用于口头和书面情报。如果这些词得到一致应用,就可以成为客户理解情报的关键。例如,只要客户理解术语的准确含义,组织也可以使用“差不多”(likely)来代替“可能”(Probable)。如果你不能保持使用你的估计词汇,就会引起混淆甚至误导,而不是让表述更清晰。


作为情报客户的行政领导一直是一种挑战。一方面是因为领导团队的知识面较广,具有一定的技术直觉。另一方面,组织内部既有由技术底蕴深厚的工程师、技术员转型而成的领导,也有来自完全不相干的学科(如财务或人力资源)的专家,他们在自己的领域里驾轻就熟,但对当前技术问题却并不擅长。这些形形色色的受众,往往是对目标的挑战。


以下是首席某某官的共性:


在某个专业领域具有较深的专业知识,同时又具有广博的知识面(有时也被称为T型人才)。尽管他们中的多数都有某一专长领域,但他们在其他领域(如人力资源或财务)也投入足够时间来深入了解。


他们的关注点往往具有过人的战略高度。如果他们在经营企业,那么所有的决定都将集中在如何赚钱或省钱上。如果他们为非营利组织工作,那么他们关注的重点将是如何完成任务。


虽然为行政领导团队撰写非技术性报告是很容易的,许多人也确实在冒着危险这样做。但别忘记,有的领导职位可能是由熟练的工程师担任。意外获知某个首席执行官或高级董事仍然对C代码有所了解,并懂得关键件恶意软件的反汇编代码,这并不鲜见——很可能这位领导刚刚出于兴趣得到电子工程硕士学位。假设领导团队具有一定技术能力而令他们淹没在术语之中固然不对,认为他们对技术一无所知也并非明智之举。


对情报客户的关注比技术理解更深入。行政领导(特别是首席某某官)有自己的重点关注领域。首席财务官(CFO)关心公司的潜在财务威胁、事件造成的损失(实际损失或潜在损失),以及针对财务人员的威胁(如利用W-2表格的社会工程手段)。相反,首席技术官(CTO)可能并不关心窃取W-2表格数据的企图(毕竟那不是其职责所在),却会担心分布式拒绝服务攻击,因为技术部门对此责无旁贷。


设法使一份情报产品满足多个不同的业务视角,就需要倾听客户的声音。一旦客户看到最终产品并给出他们的意见,便形成了我们在《网络安全之情报浅析》中讨论过的情报周期反馈闭环。这些意见可能是针对情报本身的,也可能是针对格式、流程甚至措辞的,无论是哪种意见,都应给予足够重视。团队采纳这些意见后,不断发布改进后的新版本产品,才会不断进步。


在为领导层撰写情报产品时,注意到以下要点将会事半功倍:


注重商业决策所需情报。管理人员(甚至是技术高超的执行官)很少对战术情报具有极大兴趣。他们主要关注那些有助于更好地做出业务决策的事情。


借助情报讲述威胁故事。如果做得正确,与领导分享行动相关情报会产生很大的价值。分享行动(特别是在战役级别)情报的优势,在于大多数人都喜欢听故事。行动情报可以更容易地讲故事:好人、坏人、工具和行动。重点仍应放在战略方面,但可以借助一个强大而可信的故事从行动角度来支持它。


简明扼要。在许多情况下,安全问题只是受众所关心的问题之一,而且他们专注于安全问题的时间非常有限。大篇幅的报告看起来全面透彻,令人印象深刻,但大多数情况下会被束之高阁。有两种方法可能避免出现这种情况:


在不确定对方会不会读的时候,要短小精悍。精心编写并压缩到一页的报告被全文通读,要比50页的报告被阅读10%的可能性更大。


每种产品都应该从涵盖核心要点的执行摘要开始。这一部分可能是唯一被充分阅读的,所以一定要写好。


上述方法适用于大多数客户,而不仅仅是领导者。简练的语言会让客户更快地用到这些数据,避免数据淹没在报告里。


不要把你的情报团队当作客户的唯一情报来源。这种假设是危险的,尤其是在客户是董事会或管理团队的时候。在多数企业中,这类群体会借助外部资源和顾问。在创建情报产品时一定要牢记这一点。你也要对意料之外的严厉批评有心理准备。


2、内部技术客户


对于大多数分析人员来说,为其他分析人员写报告是最容易的。这主要是因为我们全面地了解这一角色——这简直就是为我们自己写的。这时,很容易按照我们的个人想法、偏好和需求对受众做出假设,但是,要像对待情报产品客户那样对待分析人员(即使你是其中的一员),考虑他们自身的需求。不要想当然,而是要研究他们,征求反馈意见,努力改进产品以满足客户的需求,这样做是值得的。


一般而言,内部技术客户(SOC分析人员、事件响应人员、网络威胁情报分析员等)需要战术和操作级的产品来帮助他们完成工作(通常是入侵检测和事件响应)。在某些情况下,这些情报产品是为开发人员、架构分析师,或者准备构建更具防御能力的产品或网络的工程师准备的。因此,这些内部技术客户总会提出各种各样的需求,以及适用于不同情报客户组织的各类用途。以下是几种你要为内部技术客户创建的产品类型:


操作级攻击活动分析,旨在让SOC分析人员熟悉当前主要的鱼叉式钓鱼活动。


针对系统架构和漏洞管理团队的过去一年主要侵害事件的战略性讨论,旨在尝试改善系统和网络架构。


战术IOC域名列表,需要事先剔除可能的误报,用于在Web代理上阻止访问。


上述产品示例都是为了改进检测和减少误报的。分析人员既想知道威胁是什么样子的(普遍地),也想知道如何验证威胁是否发生(具体地)。这是硬币的两面,在为其他分析人员构建情报产品时,关键是要在两者间取得平衡。


至于如何为分析人员撰写报告,重点要用数据说话。


你所形成的情报产品,多数来自于分析人员的笔记。这使产品贴近了分析人员所渴望的真实情况。


这类情报产品可以是(而且也应该是)高度专业性和描述性的,还应该有丰富的参考资料,包括外部的调查结果和内部的监测数据。分析人员通常希望找到数据的原始来源,所以最好提供便于访问的参考资料。


最高质量情报产品应提供可机读(如STIX格式的IOC或Yara规则)信息,以便其他分析人员能够更容易地查看技术细节。


一定要为内部客户提供反馈和提问的途径。可以是简单地提供一个邮件地址、设置特定主题的聊天室,或者其他可以让读者与作者互动的方法。


3、外部技术客户


情报共享可以发挥出极大的威力,但为外部技术客户创建情报产品却有一些独特的挑战。就写作风格而言,为外部技术客户写报告,与为内部技术客户写报告有相似之处。核心差异在于参与规则(rules of engagement),即与外部技术客户的互动方式。以下是四个主要参与规则:


取得授权


与企业内部共享情报可能需要考虑到情报的敏感性,而与企业外部共享情报则通常会带来更大的风险。在许多情况下,威胁和事件相关数据被认为是高度敏感的,在没有签订保密协议的情况下,不应该发送到第三方。


了解共享给谁


在授权范围内,情报可以与特定类型的企业(如合作伙伴、执法机构和ISACs等)或特定个人共享。对于授权范围外的个人共享情报,将使情报面临向预料之外的第三方(包括合作机构甚至媒体)暴露的风险。


情报暴露的风险


即使企业核实并信任共享情报的对象(并尽全力保护他们收到的信息),还是会出现情报被曝光的情况。比如情报客户的邮件账户被黑客入侵,或者内部威胁导致情报泄露。作为一个情报生产方,一定要考虑到你分享的情报可能会泄露。这不应阻止企业共享情报的行为,即使在情报传输过程中使用了强加密方式,你也需要考虑如何面对情报被曝光的局面。


情报团队应避免使用具有攻击性或不友好的代号名称、不专业的语言和毫无根据的推测。如果你的情报产品通过Twitter分享,想一想你是否会觉得尴尬,或者引起不良后果。谷歌的“水族馆调查报告”被曝光就是这样的例子。想对这类曝光采取什么保护措施么?可考虑与企业的公关团队合作,倾听他们的反馈意见。


创建以可转换情报为主的外部情报


可转换情报(Translatable intelligence)对两类组织都是有价值的信息。这主要体现在信标上(例如,Snort特征适用于那些部署了入侵检测系统的组织,而IP地址几乎对所有组织都价值),同时也涉及时间线和叙事信息。投入时间了解合作伙伴企业将有助于编写此类情报产品。


提供反馈方式


情报在内部共享时通常会为客户提供各种各样的反馈方式,但对外部客户来说,可用的反馈渠道就非常有限。在共享情报时,明确地提供反馈方式(包括反馈渠道、格式和期望)是很重要的。


有时会有多方需要你的情报——你的SOC也许是一个事件相关数据的内部技术客户,但首席某某官同样需要一份简报。在这种情况下,务必记录你需要传达给不同客户的信息是什么,所以我们建议,无论受众是谁,你都要为他们设定一个客户角色。下面我们讨论如何设定这些角色。


4、设定客户角色


设定客户角色是理解情报方案受众的一种行之有效的方法,该方法是从常见的营销实践中提炼出来的。为假想的客户类型赋予相应角色,明确这类客户的特征、问题和需求,才能找到最好的方法来满足他们。在传播阶段,角色设定应放在团队各成员都能看到的地方。


首先,需要为角色开发一套模板。图1提供了一份客户角色的示例模板。

图1  客户角色示例模板

老海军(Old Navy)品牌以满足家庭中各类客户角色闻名,但其主要品牌Jenny定位于25到30岁的年轻妈妈。对于情报产品,受众的规模也应得到控制。情报团队的受众数量非常有限,应尽量为不同客户提供专门的详细内容。对于大多数的团队,有一个折中的办法,即为高优先级的客户较为细致地设定角色,而对其他群体则设定得宽泛一些。


角色的设定有助于准确定义那些不曾被注意到的客户和一般性客户。CEO是否具有良好技术背景?是否喜欢阅读典型的逆向工程分析报告?这需要在其角色中注明。你的SOC主任是否喜欢简短的单页报告?这需要在其角色中注明。角色设定的终极秘诀在于,提供对于客户最有用、最关乎利益的产品。花时间仔细考虑(必要时进行调查和确认)角色的目标与挑战、价值与痛点。这将有助于确保实现目标,提供最有用的产品。


图2展示了一份真实的情报客户档案。Shawn是安全副总裁,这会自然地让人以为他的兴趣和专业均在于此(偏见的一种表现)。这就体现出这份档案的意义,因为在这个案例里,我们对副总裁的许多假设都是错误的。Shawn精通技术,对发送给他的每份报告,都要求精确无误并具有深度。有些副总裁对于深入到数据包和持久化手段的技术细节,可能会感到不舒服或被吓倒,但Shawn对这类细节却充满期待。同理,他的兴趣主要在于典型的战略需求。了解这两点,我们可以专门为Shawn量身定制产品,兼顾他的兴趣和技术敏感度。

图2  真实的客户档案

没有必要为每个潜在的威胁情报客户构建详细的档案,但为关键的利益相关方设定角色是很有必要的。另外,有必要根据利益相关方的共性角色(如SOC分析人员)构建一种通用角色档案。在构建情报产品和设置情报职能时,这类通用档案可以作为判断是否满足利益相关方需求的重要衡量标准,提供关键的指导作用。


许多团队在尝试过角色设定方法之后,会将其视为金科玉律。但需要注意的是,所设定的角色是静态的,只满足于它指派给某个人、某个角色当时的样子。是否来了新的首席财务官?花时间为这个人创建一个新的角色吧——与前任相比,她可能有明显的不同。

三、作者


受众决定客户需要,作者决定如何有效表达。任何伟大的产品都要将作者的能力和受众的需要结合起来。


作者需要建立并维护自己的信誉。只有你的产品得到客户(受众)的信赖,才能为他们创造价值,而这种信赖往往来自于作者。成也萧何,败也萧何,分析成果存在的偏见,也会使团队名誉扫地,因此,不要去写那些你不懂的东西。最好从专业角度着力去写那些深入理解的主题,而不是凭借一知半解的推测去写。


作者既要对主题有足够的了解,写出来的东西颇具权威性,还要对受众足够熟悉,以受众喜闻乐见的方式表达内容。没有前者,产品难免出现错误(损害信誉);没有后者,内容再好也将被束之高阁。


作为一名报告编写者,你要决定是根据你所掌握的分析人员来写情报产品,还是按照你希望的主题来写。如果你希望情报产品从一组主题开始,就要根据主题所涵盖的各种需求组织团队来撰写。反之,如果你已经拥有了一组团队,则情报产品的主题就应限定在团队的能力范围内。


情报产品中的自动化报告信息


情报产品作者常会使用自动化工具向情报产品中添加信息。这种方式在恶意软件分析中尤为常见,许多作者会在报告中引入沙箱和在线恶意软件分析服务输出的内容。在分析人员和作者经验有限时,这种方式尚可接受,但多数情况下,这只是一些数据的堆砌。恶意软件自动化分析结果有时是无效的,因为有些反逆向分析技术的应用会导致自动化分析失败。


将自动生成的信息引入报告,需要注意以下几点:


全面理解信息


理解这些信息的重要性不仅体现在撰写报告的时候,还体现在情报产品交付后你对其侃侃而谈的时候。有些分析人员(甚至包括公司)都曾因为误解自动输出而错误地引入不正确的数据。


将自动生成信息加入上下文


情报产品在讲故事的时候,自动生成的报告应该作为其中的一部分。如果不结合上下文,自动生成的报告只是数据而已。


提供自动分析结果链接以便引用和更新


例如,某些样本最初在VirusTotal只有很低的检出率,但厂商加入特征后,检出率就会改变。这部分内容很重要,应该让情报产品客户易于自行核实这类信息。


以上三点可以确保你在使用自动化分析结果的时候,对情报产品产生积极作用,而不是大肆注水,愚弄你的客户。


四、可行动性


情报产品是用以采取行动的。只有产品以正确的格式,提供正确的信息,客户才能采取行动或制定更好的决策,这时,才能说该产品具有可行动性。如果客户无法借助情报中包含的信息改善其网络防御态势,那么再优秀的情报产品也是毫无价值的。(在F3EAD术语中,如果产品不能提高团队查找、定位或消除对手的能力,报告就是缺少关键内容。)最后,每个情报产品的目标都应该是促成有意义的决策或行动。


提升可行动性的作法包括:


提供对手战术、手法和过程相关信息,使客户更容易地发现他们可能面临的对手,并做出响应。


确保在产品中包含易于使用的IOC和特征,使用户更易于针对恶意活动添加检测功能或猎捕(hunt)方式。由多家厂商所使用的开放格式(如Snort和Yara)就特别适用。


回答与客户需求相关的特定问题。


提升可行动性的禁忌包括:


避免不提供网络防御小组可用的细节而对恶意活动泛泛而谈。例如,不要仅提及攻击者的网络钓鱼活动而不提供相关的电子邮件发件人地址、主题、附件或恶意链接信息。


不要利用工具或方法阻止别人复制情报产品的信息。例如,许多厂商将报告中的文本以图片形式提供,导致客户无法复制和粘贴这些信息。尤其是对于哈希、域名和IP列表,这样做尤其令人沮丧。


避免以仅适用于某厂商产品的厂商特有格式发布信息,或是向仅具备网络检测工具的客户分享只可用于主机检测的信息。


不要因设定过高密级而使信息无法得到使用。这种情况在政府机密和TLP环境中均发生。


避免使用TLP黑色


前面讨论过为保护敏感情报而提出的交通灯协议。除了官方指定的红色、黄色、绿色和白色之外,有些分析人员还会将信息标注为“TLP黑色”。这种非官方说法是指最高级别的敏感性,因为密级过高而无法据此行动,仅供极特殊场合使用。“TLP黑色”让人有一种间谍那样的偷偷摸摸的感觉,因为“TLP黑色”情报理论上是不具可行动性的,所以几乎没有用处。尽量避免使用“TLP黑色”


有些微妙的是,可行动性对于不同客户及其不同的情报程序成熟度,具有显著差异。在某些情况下,如果客户已经对威胁高度重视,即使是很出色的情报产品,其可行动性也会大打折扣。相反,这份情报产品在与刚刚发现该威胁的团队共享时,对他们来说却具有很强的可操作性。为了提高可行动性,需要听取利益相关方的意见,并了解客户的以下特点:


需求


他们遇到的麻烦是什么?他们需要解决的问题是什么?


技术


他们目前在使用哪种工具?


成熟度


他们的团队处于哪种技术水平?有效行动的能力如何?


做事方法


他们如何推进团队任务?


在了解上述特点之后,我们就可以定制产品来帮助他们有效行动了。


五、写作步骤


多数人认为好作家才能写出来好作品。尽管从某种意义上说,成为伟大的作家离不开天赋,但对于大多数人来说,写作不过是一种通过种过是事才能写出来好作品。尽管从某种意义上说,伟大的作家肯用通过通过能缓慢地学习和耐心地实践就可以掌握的技能。为数字取证和事件响应、情报或严谨(rigor-backed)的分析需求而写作,不仅需要写作风格意识(the sense of style),也需要专门的流程。下面涵盖了一套通用的情报产品开发过程——专业的情报生成组织应创建自己的详细指南,如《情报研究与分析入门》。

写作的三个主要步骤是:规划、草稿和编辑。现在让我们来深入探讨。


1、规划


情报写作总是始于规划。虽然匆忙落笔(或敲键盘)更为容易,但这样无法带来最好的产出。情报产品需要深思熟虑、合理安排、精心组织,才能为利益相关方提供尽可能多的价值。为此,在规划阶段应侧重情报产品的以下几个关键方面:


受众


你要写给谁?他们的目标和需求是什么?情报只有得到理解,才能被有效使用。


作者


谁来主笔?他擅长什么?情报依赖对上下文有深刻的理解,所以作者需要知情。


可行动性


情报接收者应该采取什么行动?情报推动决策(通常带来改变)。


这三个概念都有助于规划产品所需内容以及所应采取的格式。在创建情报产品的各个阶段(从草稿到交付给客户),都要考虑到这些。


2、草稿


起草情报产品的过程因人而异。几乎每个人都有自己的方法和流程。不论采取哪种方法,多数人都认为动笔是最困难的。大多数作者都认为,起草初稿的最好方法,就是先随便写出来一些东西,然后在此基础上不断完善。如果你还没有自己的动笔方法,这里有几种方法。你可以酌情使用其中的一种或几种。


从趋势陈述入手


所谓趋势陈述就是全文的一句话摘要,是开始情报产品的理想场所。从趋势落笔,使最终产品易于满足最初的利益相关方的需求。把趋势陈述置于开篇位置,然后给出证明这一趋势的证据,摆出事实,提出假设。在某些情况下,将趋势陈述作为产品的一个独特要素是有意义的,但也不必强求。这只不过是一个起点而已。


在情报写作中采用讲故事的方式


人类擅长讲故事,也喜欢听故事。这是一种我们习惯的形式,令人觉得很舒服。我们喜欢故事里的角色,关心他们的喜好,希望知道他们在做什么,以及不同角色之间的关系。对于情报生产者和客户而言,这种叙事形式是很自然的。接受这种形式,而不要企图对抗人类的天性。相比平淡的陈述,故事更易于被记住,也更具影响力。人类离不开故事,还是使用讲故事的方式吧。


从事实入手


另一种方法是从调查确定的事实清单开始。如果产品创建者掌握完整的笔记,这种方式尤为适用。不必在意格式和表达,尽量在纸面上给出全部事实:时间、信标,以及任何具体信息。当事实准备就绪,就可以在此基础上谋篇布局,润色词句。


从观点、要点入手


拟定提纲是把你的构思谋篇落实到纸面的好方法。此时,在提纲各个部分填写什么内容并不重要,只需写下报告所涉及的几个主题即可。


在此过程中,如果尚未清楚如何组织调查结果的结构或顺序,不妨先从写下各个要点开始。这些要点可以涵盖各种各样的主题,包括事实分析(偏重分析)、考虑因素以及轶闻趣事。只要将这些写下来,最合理的材料组织方式自然会水到渠成。


3、编辑


草稿无法成为最终产品。创造一部真正伟大的作品,即使草稿已经很优秀,仍然需要卓越的编辑工作。对于篇幅较短的作品,编辑工作可能需要形成草稿那么长的时间。


编辑工作很难一个人独立完成。编辑工作是艰苦的,一个人往往因考虑不周而在编辑过程中产生诸多瑕疵。受限于人类的心智,边读边改、查缺补漏(简而言之,就是用你想说的话替换书面上的文字)往往会导致最糟糕的情况。你对内容越熟悉,就越可能会犯这些错误。你可以使用以下各种方法来避免这些错误:


不要相信自己


最容易想到的一种方法是由另一名分析人员(在规模更大的企业,甚至会安排专门的编辑)来审阅你的作品。另一双眼睛往往可以发现原作者不曾留意的事情。与一名编辑按一套规范流程协作会是非常有效的方法。


走开一会儿


暂时离开一会儿是一种让文稿(即使是你亲手写出来的)显得陌生的方法。离开你的办公桌,拿一杯咖啡(或者你喜欢的饮料),花15分钟先不去想它。当你回来重读这段文字时,你会有新的想法,新的视角。


大声读出来


在你默读的时候,你的大脑会使你跳过一些不起眼、不重要的词。这在快速阅读的时候很有用,但在校对文字的时候就有问题了。大声朗读是一种解决办法。这可能会让你觉得有点别扭,但这会让你惊奇地发现平时在一些被忽视的词语中存在着多少错误。


自动化处理


有许多工具可以为作者提供帮助。拼写检查工具和语法检查工具比较常见的,在大多数文字处理系统中都有它们的身影。实际上,你可以使用的工具远非这些。类似write-good这样的工具,可以用来从语法角度找出那些虽然正确但并不恰当或适得其反的句式,包括一些模棱两可的词(不够准确的词,如“really”和“very”),或者一些短语的用法(如句首“So”或“There is/are”的用法)。自动化编辑工具可以帮助团队情报生产者形成规范化的情报产品。


编辑工作不应仅限于找到拼写错误的单词和缺少句号的语句,而是要增强文章的条理性,确保内容的准确性,使主题更容易理解,并找出前后矛盾的地方,督促原作者着眼于最终客户的需求。


以下是情报写作中的常见陷阱:


使用直接宾语+动词+主语的句式被称为被动语态(比如这句话就是)。被动语态使得句子听起来很复杂,往往会令人困惑,并使行为弱化。情报产品应该使用更直接的主语+动词+直接宾语的句式来表达动作,这样更易于让读者理解。例如,应该说“孩子喜欢球”,而不是说“球被孩子喜欢”。


不常用术语和缩写词


必须考虑到受众的技术背景。使用对方不懂的术语会令人兴致索然。想知道如何去除过于专业的技术用语?你应该设身处地,站在客户的角度审视这些术语。如果有什么地方拿不准,就为术语添加定义或说明。


具有倾向性或不客观的语言


注意不要误导客户。关键在于找出那些隐藏在主观用语中的偏见,确保它们经得起推敲。


模糊已知与怀疑


在创建情报产品时,你可能会犯一种最危险的错误,就是将已知与怀疑混为一谈。尽管客户需要分析人员的猜测(实质上是从他们的经验和偏见得出),但模糊了怀疑与事实的区别可能会造成破坏性后果,导致利益相关方做出错误决策。


编辑阶段还要检查内容的准确性和完整性。这对于那些客户可能直接投入使用的攻陷信标等数据尤其重要。对于安全运营团队来说,与输入错误的IP地址比起来,从句是不是由分词引导,在多数情况下并不算什么问题。一名优秀的编辑,不仅能找出错误,还应该能发现缺失的信息、混乱的描述,以及那些异曲同工的段落。


除了使用文字,还应考虑使用图表,让数据更为直观。也就是所谓的“一图胜千言”。只要有可能就使用图表或图片,这会使数据更具吸引力,更容易消化,也更为难忘。在不求助美工的情况下,自己设计图形会是一种挑战,但在多数情况下,即使是一幅剪贴画也可以让文章增色不少。


最后,编辑的伟大之处不在于添加了什么内容,而在于删除了什么内容。情报产品胜在简洁,所以优秀的编辑应该留意那些冗余的内容,力求让情报产品变得简洁。


六、情报产品版式


在规划完成后,我们所讨论的一些特性(目标、作者、受众和可行动性)会为你设定文档结构带来帮助。所谓结构,即是情报产品的实际版式和布局,包括标题、篇幅,甚至数据格式。对于受众和可行动性两个方面而言,尤其需要与具体产品相适配。


打算匆忙赶制出情报产品是要冒风险的。其风险在于,要么忽视了受众的需求,要么忽略了关键的可行动信息。成熟的情报程序会为分析人员提供可选的情报产品模板库,以及如何选择模板的指导手册。


开发产品模板是企业的一项特定任务,该任务依赖于对预期受众、需求和组织风格的理解。这种定制模板需要根据客户和分析人员的反馈不断改进。


通过浏览我们的示例报告模板,可以很好地了解这类产品应该是什么样子的。这些模板列举出团队可为各种利益相关方生产的几类产品。我们共享这些模板,实际上是为了让你可以用来为自己的利益相关方构建产品。


1、简易格式产品


简易格式情报产品,通常只有一两页,旨在满足特定的战术或作战情报需求。简易格式产品以某些方式直接与RFI相关联。这类产品侧重于及时、快速地采取行动,通常可对类似问题做出更长效的响应,或直接满足客户的需求,或在企业内部为对手行动发出告警。简易格式情报产品力求简洁,通常不会面面俱到,而是提供特定角度的调查细节,或根据特定需要,提供给定事件或攻击者的详细信息。


为事件与攻击者命名


在撰写简易格式或完整格式情报产品时,分析人员通常需要以某种代号指称当前或既往事件,以及事件背后的攻击者。较之“去年发出的电子邮件”或者“那些使用该工具的坏人”,这样做会更省事。为攻击者指定代号,为事件指定易于记忆的名称,符合人类喜好听有人物、有情节的故事的天性。


这类代号有着重要的作用,在选择代号的时候应多加小心。代号可能会被公开,所以它们不能让人反感。在使用代号命名时,还应避免使人们联想到某种产品品牌,否则就成了市场营销。


微软威胁情报中心(Microsoft Threat Intelligence Center,MSTIC)就是具有优良命名传统的典范,其命名取自元素周期表中的元素,以此为恶意活动分组。这些命名独特又令人难忘,选择余地也很大。下面从事件简报开始介绍各类情报产品。


事件简报


事件简报是一类常见情报产品,是事件响应和威胁情报之间的纽带。这种简易格式情报产品以一两页的短小篇幅,简要说明当前事件的事态进展,对事件响应人员、SOC分析人员和管理层均有用处。该产品应具有严格时间限制,并仅针对特定行动。简报样式见示例1。

示例1  事件简报格式样例

目标清单


事件简报用于描述近期发生的事件,这类事件通常尚未溯源到攻击者,而目标清单用于描述攻击者,无论该攻击者发起的攻击事件是否被观察到。目标清单通常是从厂商报告中提取的信息。


目标清单是一种非常通用的情报产品,因而受到各类客户的广泛关注。一个优秀的目标清单不宜过度涉及溯源。它需要以事实为依据,而不应过度掺杂主观猜想。目标清单样式见示例2。

示例2  目标清单格式样例

攻陷信标(IOC)报告


攻陷信标(IOC)报告是高度战术性的产品,通常供SOC和响应人员分享信标使用。IOC报告在结合新的检测或告警(如近期加入黑名单的信标)使用时更能发挥作用。鉴于缺少上下文信息时信标难以作为情报,IOC报告通常要提供必要的上下文信息。


记住,IOC报告的参考资料可能来自外部,也可能来自内部,如果是来自内部的资料,往往会更有价值。例如,参考资料指向某个关联攻击者的相关目标清单,或者指向信标被发现时的某份报告,都是有意义的。追踪多种不同情报产品,往往可以得到分析人员所需的上下文信息,有助于理解复杂的事件。IOC报告样式见示例3。

示例3  IOC报告格式样例

2、完整格式产品


完整格式情报产品是多页的,通常需要多轮分析的情报产品,可以满足广泛的需求。简易格式产品往往有苛刻的时间限制,而完整格式产品通常没有时间限制(但可能会有最后完成期限)。简易格式产品可能在24小时内就可以形成,而完整格式产品可能需要数周或数月才能交付。这在一定程度上是篇幅的原因,完整格式情报产品往往超出5页且上不封顶,为达到预期效果和提供所需内容,篇幅还会更长。简易格式产品通常是小型团队甚至是由分析人员独自完成的产物,而完整格式产品通常是由大型团队开发的,需要从逆向分析工程师到平面设计师的各种技能和能力。


完整格式产品应该能够全面阐述某个特定主题。与其他产品一样,完整格式产品也需要大量定制和艰难尝试才能有效使用。因为它对于技术、写作、编辑和团队协同等方面均有更高的要求,只有更为成熟的情报团队才能开发完整格式产品,而即使是这样的团队也不是总能成功。这类产品可能具有较长的篇幅,却缺少战略重点,而战略客户(往往是领导),可能只会去读与他们相关的只言片语。因此,开始部分的简介应该涵盖主要观点和综合索引,让利益相关方可以直接跳到对他们有用的地方,这一点很重要。


以下为三种常见的完整格式产品模板(分别是战术模板、行动模板和战略模板)。


恶意软件报告


战术型完整格式产品以恶意软件报告为例。通常来说,恶意软件报告作为逆向分析的产物,为不同团队(从据此信息识别新攻击或

上一篇红色育人结硕果,我院VR井冈山会师项目获国家大奖!

下一篇微信推小程序七大计划:你只管做好,剩下的交给我们

相关文章:

中超本月排行

中超精选