profiling-threat-actor-groups

威胁行为者组织画像

使用场景

在以下情况使用本技能：

• 用最近观测到的针对您所在行业的对手组织画像更新组织威胁模型
• 就与影响您业务的地缘政治事件相关的 APT 组织准备管理层简报
• 帮助 SOC 分析师理解攻击者目标和 TTP，以改善检测调优

不适用于实时事件归因——活跃事件期间的归因工作应次于遏制处置。画像完善发生在事件后阶段。

前置条件

• 可访问 MITRE ATT&CK 组织数据库（https://attack.mitre.org/groups/）
• 商业威胁情报订阅（Mandiant Advantage、CrowdStrike Falcon Intelligence 或 Recorded Future）
• 行业特定 ISAC 成员资格用于定向情报（FS-ISAC、H-ISAC、E-ISAC）
• 结构化画像模板（见下方工作流）

工作流

步骤 1：识别相关威胁行为者

将您组织的行业、地理位置和技术栈与已知对手定向模式进行交叉比对。来源：

• MITRE ATT&CK 组织：130+ 个有 TTP 映射的国家级和犯罪组织文档记录
• CrowdStrike 年度威胁报告：按国家级命名的对手（BEAR=俄罗斯, PANDA=中国, KITTEN=伊朗, CHOLLIMA=朝鲜）
• Mandiant M-Trends：含行业特定定向统计数据的年度报告
• CISA 已知被利用漏洞（KEV）目录：识别特定威胁行为者正在主动利用的漏洞

根据行业匹配度和近期活动，初筛 5-10 个最可能针对您组织的组织。

步骤 2：收集画像数据

对每个对手，按标准维度记录：

身份：ATT&CK 组织 ID（如 APT29 为 G0016）、别名（Cozy Bear、The Dukes、Midnight Blizzard）、疑似国家级赞助商

动机：间谍活动、经济利益、破坏行动、知识产权窃取

定向范围：行业、地理位置、组织规模、技术目标（OT/IT、云、供应链）

能力：定制恶意软件（如 APT29 的 SUNBURST、MiniDuke）、零日漏洞与已知 CVE 利用、供应链攻击能力

活动历史：带日期的重大行动（SolarWinds 2020, Exchange Server 2021 等）

按 ATT&CK 阶段的 TTP：每个战术阶段记录前 5 个技术

步骤 3：将 TTP 映射到 ATT&CK

使用 mitreattack-python：

from mitreattack.stix20 import MitreAttackData

mitre = MitreAttackData("enterprise-attack.json")
apt29 = mitre.get_object_by_attack_id("G0016", "groups")
techniques = mitre.get_techniques_used_by_group(apt29)

profile = {}
for item in techniques:
    tech = item["object"]
    tid = tech["external_references"][0]["external_id"]
    tactic = [p["phase_name"] for p in tech.get("kill_chain_phases", [])]
    profile[tid] = {"name": tech["name"], "tactics": tactic}

步骤 4：评估针对画像的检测覆盖率

将对手技术列表与您的检测覆盖矩阵（来自 ATT&CK Navigator 层）进行比对。识别：

• 该组织使用而您没有检测能力的技术（关键缺口）
• 有部分覆盖的技术（有日志但无告警）
• 检测不可行时的补偿控制（网络分段作为横向移动的缓解措施）

步骤 5：打包画像以供分发

为不同受众构建最终画像：

• 管理层摘要（1 页）：是谁、动机、近期活动、对我组织的最高风险、推荐优先行动
• SOC 分析师简报（3-5 页）：含检测状态的完整 TTP 列表、IOC 清单、狩猎假设
• 技术附录：YARA 规则、Sigma 检测规则、用于 TIP 导入的 STIX JSON 对象

内部分发标记 TLP:AMBER；外部共享前寻求 ISAC 批准。

核心概念

术语	定义
APT	高级持续性威胁（Advanced Persistent Threat）——资源充足、技术精湛的对手（通常是国家级或高级犯罪组织），开展长期定向行动
TTPs	战术、技术和程序（Tactics, Techniques, Procedures）——对手组织的行为指纹，比频繁变化的 IOC 更具持久性
别名	威胁行为者在不同厂商处有不同命名（APT29 = Cozy Bear = The Dukes = Midnight Blizzard = YTTRIUM）
归因	将攻击与特定威胁行为者关联的过程；需要多个独立的佐证数据点，具有固有不确定性
集群	一组相关的入侵活动，可能可归因也可能无法归因于单一行为者；在归因不确定时使用
入侵集合	STIX SDO 类型，代表具有共同目标的一组对抗性行为，即使行为者身份未知

工具与系统

• MITRE ATT&CK 组织：免费、社区维护的 130+ 个有文献参考活动报告的对手组织数据库
• Mandiant Advantage 威胁情报：商业平台，含详细的 APT 画像、恶意软件家族和活动分析
• CrowdStrike Falcon Intelligence：商业情报源，含以对手为中心的画像和实时归因更新
• Recorded Future 威胁情报：结合 OSINT、暗网和技术情报的对手画像
• OpenCTI：威胁行为者关系、工具和活动关联的图形化可视化平台

常见陷阱

• 以 IOC 为中心的画像：围绕 IP 地址和域名而非 TTP 构建画像，意味着随着基础设施轮换，画像在数周内即过时。
• 厂商别名混淆：由于共享恶意软件或基础设施而将两个不同威胁行为者组织混为一谈，导致威胁模型假设错误。
• 二元归因：将归因视为确定性的，而实际上它是概率性的。始终限定归因置信水平（低/中/高）。
• 忽视内部威胁和犯罪组织：过度强调国家级 APT 而忽视勒索软件组织（Cl0p、LockBit、ALPHV），对大多数组织而言后者代表更高概率的威胁。
• 画像过时：对手 TTP 不断演变。未每季度更新的画像可能遗漏技术变化、新恶意软件或定向转移。