本文目录导读:

对于关基安全(关键信息基础设施安全)领域的CISP-TH(注册威胁情报分析师)认证,其核心知识体系严格遵循中国国家信息安全标准化技术委员会(TC260)的相关标准,特别是GB/T 36643-2018《信息安全技术 网络安全威胁信息格式规范》。
在这套框架下,威胁情报不仅是一个数据集合,更是一个支撑关基保护实战化、体系化、常态化的决策驱动系统。
以下是针对CISP-TH认证中要求的威胁情报框架的深度解析,主要分为定义、核心层级、生命周期、模型应用及与关基的适配五个维度:
核心定义与目标
在CISP-TH体系中,威胁情报框架被定义为:关于网络威胁的结构化、可消费化、可操作化的信息集合。 其核心目标是解决“知己知彼”中的“知彼”问题,为关基单位提供:
- 预警能力:在攻击发生前发现风险。
- 检测能力:在攻击进行中快速识别已知威胁。
- 溯源能力:在攻击后追溯攻击源、手法及组织背景。
核心层级模型(CISP-TH重点考察)
CISP-TH将威胁情报分为四个层级,这是框架的基石:
| 层级 | 英文名 | 定义 | 关基场景举例 |
|---|---|---|---|
| 战略情报 | Strategic Intel | 宏观、非技术性的情报,面向决策层。 | 某APT组织针对我国电力行业的攻击意图报告;境外势力对关基的网络间谍活动态势分析。 |
| 运营情报 | Operational Intel | 关于即将发生的攻击行动、TTPs(技术、战术与程序)的情报,面向安全运营中心。 | 发现某勒索软件组织即将在下一阶段针对医疗关基系统进行大规模扫描与投递。 |
| 战术情报 | Tactical Intel | 关于攻击者使用的具体技术手段,如IoC(危害指标),C2(命令与控制协议),面向一线分析师。 | 特定恶意软件HASH值、钓鱼邮件的域名、攻击所用的漏洞CVE编号。 |
| 技术情报 | Technical Intel | 基于数据而非人工分析,如日志、流量特征,面向自动化检测设备。 | 特定IP黑名单、主机上的恶意文件MD5、URL模式。 |
CISP-TH考试核心观点:关基安全的重点在于运营情报和战术情报,战略情报指导资源投入,技术情报提供自动化阻断,但只有运营和战术情报才能支撑“预警-检测-响应-处置”的闭环。
情报生命周期(闭环驱动)
CISP-TH强调威胁情报必须是一个闭环,其生命周期框架包含6个阶段:
- 规划与方向:明确关基保护需要什么类型的情报。
- 收集:从开源情报、商业情报、行业共享、社工、暗网等多源渠道获取。
- 处理:将非结构化数据(如报告、对话)转为结构化数据。
- 分析:这是CISP-TH框架的核心,基于STIX/TTPs模型分析攻击者意图、能力与机会,重点包括关联分析、时间序列分析和归因分析。
- 分发:将分析后的情报以标准格式(如STIX、TAXII)推送至SOC、防火墙、EDR等设备。
- 反馈:将处置结果反馈回规划阶段,优化下次情报收集方向。
关键模型应用(TTPs与杀伤链)
CISP-TH框架要求分析师必须掌握以下两种模型来结构化描述威胁:
- 网络杀伤链:
- 定义:识别、侦查、武器化、投递、利用、安装、指挥与控制、目标达成。
- 关基价值:在杀伤链早期(如侦查阶段)通过情报进行阻断,成本远低于后期。
- ATT&CK模型:
- 定义:面向关基的战术(12项)与技术(具体TTPs)。
- 核心要求:CISP-TH要求分析师能将收集到的IoC映射到ATT&CK矩阵中,发现的一个钓鱼附件,不仅要报告其HASH值,还要映射为“T1566.001(鱼叉式钓鱼附件)”和“T1204.001(用户执行-恶意链接)”。
与关基安全工作的适配
在CISP-TH框架下,威胁情报不是独立产品,而是融合到关基的“三同步”要求中:
- 同步规划:在关基系统设计阶段,就规划好情报采集点(蜜罐、全流量探针)。
- 同步建设:建设情报共享机制,对接国家网络与信息安全信息通报中心、CNCERT等行业专报。
- 同步运营:日常运营中,将每小时/每天的威胁情报数据与关基内部的资产、人员、流量关联,形成主动防御能力。
CISP-TH考试/实战关键点)
- 框架核心:CISP-TH的威胁情报框架以APT防御和精准检测为出发点,强调分层多源。
- 价值体现:框架的价值不在于数据量多大,而在于降噪(减少误报)和上下文(提供为什么这个IP是恶意的背景)。
- 标准化:必须遵循GB/T 36643-2018(这比STIX在国际上更强调分级分类和合规性)。
- 能力要求:持有CISP-TH的人员必须能基于此框架,设计出一套适合本关基单位的情报运营SOP,并能向决策层解释“这个情报对我们单位的具体攻击路径和资产有什么影响”。
如果你正在备考或实际建设该系统,建议重点复习《信息安全技术 网络安全威胁信息格式规范》 及《GB/T 32919-2016 信息安全技术 工业控制系统安全控制应用指南》 中关于情报交互的章节。