参考
David Bianco在2015年发布的博文: http://detect-respond.blogspot.com/2013/07/on-misuse-of-indicators.html
定义:
指示器:指向特定结论的一条信息
indicator:an indicator is a piece of information that points to a certain conclusion.
意义:
一条单独的指示器可能不足以支撑其指向的结论,但足够多的指示器可以最终得到正确的结论。指示器是证明结论的证据(数据点)。
形式:
可以认为是可能重复的任何数据类型或者特定模式。例如恶意软件使用的一条域名或者IP地址,交易中反复出现的数据,对手特定操作的组合。
分类:
- 归因指示器(Attribution Indicators):用于溯源特定威胁角色(threat actor)
- 检测指示器(Detection Indicators):用于发现安全事件的可观察物(也被称为IOC)
- 预测指示器(Prediction Indicators):用于预示其他事件的行为模式
- 分析指示器(Profiling Indicators):用于帮助发现哪些用户、设施、项目可能成为被攻击对象。
注:
- 预测指示器和分析指示器可能难以落地。
- 归因指示器和检测指示器可能共享某些信息,反例:动态域名3322.org,连接到该域名的流量大部分是高度可疑的,是一个很好的检测指标,但可能有上百个威胁角色使用该域名,难以溯源/归因,不是很好的归因指标