Tactics, Techniques, and Procedures (TTPs) is a comprehensive description of a cyber actor's behavior. 

- Tactic: the highest-level description of the cyber actor’s behavior. 
- Technique: gives a more detailed description of behavior in the context of a tactic.
- Procedure: an even lower-level, highly detailed description in the context of a technique.

A good threat intelligence will provide TTPs, so the reader has a detailed understanding of the cyber attack. Then, the reader will be able to take right defensive measures.
 
 
 
 
 
*Reference: 
[tactics, techniques, and procedures (TTP) - nist.gov](https://csrc.nist.gov/glossary/term/tactics_techniques_and_procedures)
 
*Image courtsey of [Pixabay](https://pixabay.com/)

What are Tactics, Techniques, and Procedures (TTPs)? Why do CTI analysts talk about them all the time?

TTPs 是 Tactics, Techniques, and Procedures 的縮寫，分別指戰術、技巧和程序。用以描述威脅行動者的攻擊模式或特徵。

- 戰術(tactic): 指的是以宏觀層次描述描述網路攻擊
- 技巧(technique): 比戰術的細節更多，提供完整的脈絡
- 程序(procedure): 說明完整的攻擊過程，較技巧所提供的資訊更詳細

一份有價值的威脅情資報告會提供詳盡的 TTPs 分析，協助讀者深入了解該次攻擊事件，從而採取正確的防禦措施。
 
 
 
 
 
*參考資料: 
[tactics, techniques, and procedures (TTP) - nist.gov](https://csrc.nist.gov/glossary/term/tactics_techniques_and_procedures)
 
*首圖來源: [Pixabay](https://pixabay.com/)

什麼是 TTPs? 為什麼 TTPs 是網路攻擊分析的重要元素?

TTPsは、Tactics（戦術）、Techniques（技術）、Procedures（手順）の略語です。攻撃者の攻撃パターンや特徴。

- 戦術：マクロレベルでのサイバー攻撃。
- テクニック：「戦術」よりも詳細で完全なコンテクストを提供。
- 手順：攻撃の全プロセス、「テクニック」よりも詳細な情報を提供。

詳細なTTPs解析により価値のある脅威レポートを提供します。レポートにより、攻撃をさらに理解できるようになり、正しい対策を講じるのに役立ちます。
 
 
 
 
 
*参考文献:
[tactics, techniques, and procedures (TTP) - nist.gov](https://csrc.nist.gov/glossary/term/tactics_techniques_and_procedures)
 
*画像のソース: [Pixabay](https://pixabay.com/)

TTPsとは？ サイバー攻撃の分析に関する重要な要素である理由

Cyber kill chain describes on how cyber attackers break into companies’ systems. 

It contains 7 steps -

1. **Reconnaissance**: Attackers collect information about the staff from the target company e.g. email address, public info in social network platforms, etc. By using tools, attackers can scan websites or systems to find out which type and version is being used by the company.
2. **Weaponization**: Attackers look for tools or design their own tools to execute the cyber attacks, e.g. backdoor, trojan, etc.
3. **Delivery**: Attackers deliver weaponized packages to the victim via email, web, flash drive, etc.
4. **Exploitation**: Attackers exploits a vulnerability to execute code on the victim's system.
5. **Installation**: After the exploitation stage, malware will be installed on the victim’s system. This ensures attackers have long-term access and control of the victim’s system. 
6. **Command & Control**: This part is also called C2. It is a common channel for remote manipulation of the victim.
7. **Actions**: Take action to accomplish their original goals.


For various cyber attacks,the cyber kill chain can help the enterprise cybersecurity team studying system breaches or knowing and dealing with them. By doing so, the team can successfully achieve their cybersecurity defense goals.
 
 

>Learn more about our cybersecurity solution: https://teamt5.org/en/products/threatvision/

 
 
*Reference:
[Cyber Kill Chain® | Lockheed Martin](https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html)
 
*Image courtsey of [Pixabay](https://pixabay.com/)

What is Cyber Kill Chain? Why Does It Matters?

網路攻擊鏈(Cyber Kill Chain)以7個環節，描述網路攻擊者採取的攻擊步驟。

7個環節依序是:

1. **偵查 Reconnaissance**: 攻擊者收集目標對象的資料，如電子郵件信箱、社群平台的資料，以找到可以下手的弱點；或是透過工具，掃描目標對象的網站、系統，得知使用的系統種類、版本。
2. **武裝 Weaponization**: 攻擊者使用現成的開源工具或是自行開發專屬的惡意程式。
3. 遞送 Delivery: 攻擊者將攻擊武器送入目標的系統內，如透過釣魚信件裡的連結、夾帶木馬的盜版軟體、隨身碟。
4. **漏洞利用 Exploitation**: 確保遞送的惡意軟體，藉由目標對象的系統漏洞，得以順利開啟，並使攻擊者獲得控制權。
5. **安裝 Installation**: 攻擊者確保自身可以長期控制目標的系統內，以有足夠的時間進行後續環節。
6. **發令與控制 Command & Control**: 本環節取兩個單字的字首，又可簡稱為 C2。攻擊者潛伏在目標的系統內，收集資料，探索環境，以便審慎規劃後續行動。
7. **行動 Actions**: 根據攻擊者的最終目標，採取行動，如破壞系統、竊取機密資料、勒索目標對象。


針對各類網路攻擊，以網路攻擊鏈進行深度分析，有助企業資安團隊找出系統破口，進行修補與處置，達成資安防禦目標。
 
 
>認識我們的資安防禦相關解決方案: https://teamt5.org/tw/products/threatsonar-anti-ransomware/
 
 
 
*參考資料:
[Cyber Kill Chain® | Lockheed Martin](https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html)
 
*首圖來源: [Pixabay](https://pixabay.com/)

什麼是網路攻擊鏈 (Cyber Kill Chain)? 對資安防禦的重要性是什麼?

サイバーキルチェーン（Cyber Kill Chain）は、サイバー攻撃を7ステップに分解したものです。

7ステップ： 

1. **偵察**: 攻撃者は悪用できる脆弱性を見つけるためにメールアドレス、SNSなどで攻撃対象の情報を集めます。またはツールで攻撃対象のWebサイト、システムをスキャンし、使用しているシステムの種類やバージョンなどの情報を得ます。
2. **武器化**: 攻撃者は既存のオープンソースツールまたは自身が開発した専用のマルウェアを使用します。
3. **配送**: 攻撃者はフィッシングメール内のリンク、トロイの木馬入り海賊版ソフトウェア、USBフラッシュドライブなどを介して武器をターゲットのシステム内に送り込みます。
4. **脆弱性の利用**: 攻撃者は攻撃対象のシステムの脆弱性を利用し、送り込んだマルウェアを開いてコントロール権を得ます。
5. **インストール**: 攻撃者はターゲットのシステムを長時間コントロールできるようにし、その後のプロセスを実行するための十分な時間を確保します。
6. **コマンド&コントロール**: 2つの英単語の頭文字をとってC2と略されることもあります。攻撃者は行動を慎重に計画するため、ターゲットのシステム内に潜伏して、資料を集めたり環境を探ったりします。
7. **行動**: 攻撃者は攻撃対象のシステムの破壊、機密情報の窃取、身代金の要求など、最終目標に向けた行動を起こします。


さまざまなサイバー攻撃をサイバーキルチェーンで詳細に分析することで、企業の情報セキュリティチームはシステムの脆弱性を見つけ、修正および対処することができ、情報セキュリティ保護を達成するのに役立ちます。
 
 
 
*参考文献
[Cyber Kill Chain® | Lockheed Martin](https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html)
 
*画像のソース: [Pixabay](https://pixabay.com/)

サイバーキルチェーン（Cyber Kill Chain）とは？ 情報セキュリティ保護の重要性について

Products & Services

## What is Diamond Model of Intrusion Analysis? 
The Diamond Model of Intrusion Analysis is a model to describe cyber attacks. It contains 4 parts - adversary, infrastructure, capability, and target. It gives analysts a comprehensive view of cyber attacks.

- Adversary: Where are attackers from? Who are the attackers? Who is the sponsor? Why attack? What is the activity timeline and planning?
- Infrastructure: Infected computer(s), C2 domain names, location of C2 servers, C2 server types, mechanism and structure of C2, data management & control, and data leakage paths 
- Capability: What skills do the attackers have to do reconnaissance, deliver their attacks, attack exploits and vulnerabilities, deploy their remote-controlled malwares and backdoors, and develop their tools?
- Target: Who is their target country/region, industry sector, individual, or data?

## Why Does It Matter?
For various cyber attacks, the diamond model of intrusion analysis can help enterprise cybersecurity teams find system breaches and deal with them. By doing so, they can successfully achieve cybersecurity defense goals.

![What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_en.jpg](https://uploads.teamt5.org/upload/original/What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_en.jpg)
<center>Diamond Model of Intrusion Analysis</center>


>Learn more about how we help enterprises via cyber threat intelligence: https://teamt5.org/en/products/threatvision/
 
 
*Image courtsey of [Pixabay](https://pixabay.com/)

What is the Diamond Model of Intrusion Analysis? Why Does It Matter?

## 什麼是入侵分析鑽石模型? 

入侵分析之鑽石模型(diamond model of intrusion analysis)是以4大元素分析網路攻擊的模型，4大元素包含敵人(adversary)、設施(infrastructure)、能力(capability)、目標(target)。

4大元素的細節包含: 
- 敵人(adversary): 敵人從哪邊來?敵人是誰? 幕後主導者/贊助者是誰? 攻擊的動機是什麼?攻擊的時間表和計劃是什麼? 
- 設施(infrastructure): 受感染的電腦、C2域名、C2服務器位置、C2服務器類型、C2管理的機制和結構、控制和資料搬運的路徑
- 能力(capability): 攻擊者具備的偵測技術、遞送惡意軟體的方式、會利用的漏洞、可以遠端控制的惡意軟體/後門程式、橫向移動的技巧與使用的工具、竊取資料的技術
- 目標(target): 意圖攻擊的目標、鎖定的目標國家/地區、鎖定的目標產業、鎖定企業哪個部門、鎖定哪種職能的員工、意圖竊取的資料類型

## 入侵分析鑽石模型對資安防禦的重要性是?
針對各類網路攻擊，以入侵分析之鑽石模型進行多角度分析，有助企業資安團隊找出系統破口，進行修補與處置，達成資安防禦目標。


![What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_tw.jpg](https://uploads.teamt5.org/upload/original/What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_tw.jpg)
<center>入侵分析鑽石模型</center>
 

>了解我們如何透過基於入侵分析鑽石模型提出的威脅情資解決方案: https://teamt5.org/en/products/threatvision/
 
 
*首圖來源: [Pixabay](https://pixabay.com/)

什麼是入侵分析鑽石模型? 對資安防禦的重要性是?

## 侵入分析のダイヤモンドモデルとは？

侵入分析のダイヤモンドモデル（diamond model of intrusion analysis）は、攻撃グループ（adversary）、攻撃基盤（infrastructure）、能力（capability）、ターゲット（target）の4つの要素からサイバー攻撃のパターンを分析する方法です。

4つの要素の詳細について： 
- 攻撃グループ(adversary): 撃グループは誰でどこから来たのか。背後の主導者や協力者は誰で攻撃の動機は何なのか。攻撃のスケジュールや計画。 
- 攻撃基盤(infrastructure): 感染したコンピュータ、C2サーバの名称、場所、タイプ、C2管理のメカニズムと構造、制御パス、データパス。
- 能力(capability): 攻攻撃者の検出技術、マルウェアの送信方法、悪用される可能性のある脆弱性、遠隔操作可能なマルウェア/バックドア、ラテラルムーブメントの技術と使用されるツール、データを盗む技術。
- ターゲット(target): どのような国/地域、産業、企業の部門、スキルを持った従業員が攻撃対象となっているか。盗もうとしているデータのタイプ。

## 情報セキュリティ保護の重要性について
さまざまなサイバー攻撃を侵入分析のダイヤモンドモデルで多角的に分析することで、企業の情報セキュリティチームはシステムの脆弱性を見つけ、修正および対処することができ、情報セキュリティ保護を達成するのに役立ちます。


![What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_jp.jpg](https://uploads.teamt5.org/upload/original/What_is_Diamond_Model_of_Intrusion_%20Analysis_pic_jp.jpg)
<center>侵入分析のダイヤモンドモデル</center>

 
*画像のソース: [Pixabay](https://pixabay.com/)

侵入分析のダイヤモンドモデルとは？ 情報セキュリティ保護の重要性について

## The definition of cyber threat intelligence
Cyber threat intelligence (CTI) is information that has been aggregated, transformed, analyzed, interpreted, or enriched to provide the necessary context for decision-making processes.

## Why does cyber threat intelligence matter to enterprises?
As the old saying “know the enemy, know yourself, and in every battle you will be victorious”, cyber threat intelligence plays the same important role in cyber war. It gives enterprises an overview of the threat landscape. Enterprise can make better cybersecurity defense plans to secure daily operation. 

## 3 levels of cyber threat intelligence
Cyber threat intelligence contains 3 levels - strategic, operational, and tactical threat intelligence.

**1. Strategic Threat Intelligence**
(Non-Technical, usually CXX users) :  Identifies the Who and Why. Uses high-level information (whitepapers, policy documents, publications, etc.)

**2. Operational Threat Intelligence**
(Mixed, SOC leaders, analysts, etc.):  Works on the How and Where. Uses information about threat actor tactics, techniques, procedures, etc.

**3. Tactical Threat Intelligence**
(Technical, usually Security Operations Center (SOC) personnel):  Look at the What. Uses Indicators of Compromise (IoC) such as file names, hashes, domain names, IP addresses, etc.

## Summary
Threat intelligence is an important part of enterprises’ cybersecurity plans. Enterprises can effectively deploy information security defenses and ensure smooth operations using the intelligence gathered and analyzed by the top threat intelligence research teams.



We, TeamT5, are the top research team in malware & Advanced Persistent Threat (APT). We’re  frequently invited to share our insights in top cybersecurity conferences - Black Hat (USA), Code Blue/ AVTokyo (Japan), Troopers(Germany), and other events organized by global organizations such as Hack In The Box, and FIRST.

>Contact us today to learn more about our threat intelligence platform.
>https://teamt5.org/en/request-information/


What is Cyber Threat Intelligence (CTI)? Why Does It Matter?

## 威脅情資的定義
威脅情資(threat intelligence)或稱網路威脅情資、資安情資(cyber threat intelligence,CTI) ，指的是與網路攻擊相關的資訊，經由專業團隊收集、轉換、分析、解釋等處理過程，提供資安決策過程所需要的基礎。

## 威脅情資對企業的重要性
孫子兵法提及戰場上的重要原則「知己知彼，百戰不殆」，到如今的網路戰爭中，一樣適用，而威脅情資就是企業進行資安防禦布局的關鍵。

透過威脅情資，企業能夠有效規劃資安防禦計畫，包含如何為員工進行資安意識的教育訓練，了解需導入的資安解決方案，如何調整資訊系統的設定，並可在多個資安防禦目標中，區分輕重緩急，分配預算。

## 威脅情資的3大層次
威脅情資依其內涵，分為3個層次，每個層次都可為企業的資安計畫帶來效益。
 
**1. 戰略型威脅情資(Strategic Threat Intelligence): **無技術細節，由 CXO 層級使用；用於辨別誰會想攻擊? 為何想攻擊?

**2. 實戰型威脅情資(Operational Threat Intelligence): **需要技術背景，由SOC 主管、分析研究員等使用；用於理解攻擊者的TTP (戰術 Tactics 、技術 Techniques、流程 Procedures)

**3. 戰術型威脅情資(Tactical Threat Intelligence):** 需要技術背景，通常是 SOC 人員使用；以威脅指標(indicator of compromise, IoC)，監看特定攻擊事件

## 總結
威脅情資是企業資安重要的一環，與具備完整威脅情資資料庫的廠商合作，企業可有效進行資安防禦布局，確保營運順暢。

TeamT5 杜浦數位安全專精網路威脅研究，具備超過10年的惡意程式與進階持續性滲透攻擊(APT)的研究經驗。基於地緣和語言優勢，我們有效掌握亞太地區的駭客攻擊，更經常受邀參加世界級資安會議、發表研究成果。

>今天就聯絡我們，展開企業資安的第一步!
>https://teamt5.org/tw/request-information/

 
 
 
*參考資料:
[threat intelligence - nist.gov](https://csrc.nist.gov/glossary/term/threat_intelligence)
 
*首圖來源: [Pixabay](https://pixabay.com/)

什麼是威脅情資? 對企業的重要性是什麼?

## 脅威インテリジェンスの定義
脅威インテリジェンス（threat intelligence）はサイバー脅威インテリジェンス（cyber threat intelligence,CTI）とも呼ばれ、サイバー攻撃に関する情報を指します。専門家のチームにより収集、変換、分析、解釈などの処理が行われ、情報セキュリティの意思決定プロセスに必要な基礎となります。

## 企業にとっての脅威インテリジェンスの重要性
孫子の兵法には「彼を知り己を知れば百戦殆うからず」という戦場における重要な原則がありますが、同じことが今日のサイバー戦争にも当てはまります。脅威インテリジェンスは、企業が情報セキュリティ保護を展開する際の重要なポイントとにもなります。

脅威インテリジェンスにより、企業は情報セキュリティの意識に関する従業員のトレーニング方法、導入する情報セキュリティソリューションへの理解、情報システムの設定および調整方法など、効果的に情報セキュリティ保護の計画を立てることができます。また、複数の情報セキュリティ保護に優先順位をつけて予算を割り当てることができます。

## 脅威インテリジェンスの3つのレベル
脅威インテリジェンスは内容によって3つのレベルに分けられ、それぞれのレベルが企業の情報セキュリティ計画にメリットをもたらします。
 
 
**1. 戦略的脅威インテリジェンス(Strategic Threat Intelligence): **技術的な背景を必要とせず、CXOレベルで使用されます。誰が何のために攻撃しようとしているのかを判断します。
 
 
**2. 運用的脅威インテリジェンス(Operational Threat Intelligence): ** 技術的な背景が必要で、SOCマネージャーや分析研究員などが使用します。攻撃者のTTP（戦術「Tactics」、技術「Techniques」、手順「Procedures」）を把握します。
 
 
**3. 戦術的脅威インテリジェンス(Tactical Threat Intelligence):** 技術的な背景が必要で、一般的にSOC担当者が使用します。 セキュリティ侵害インジケーター（indicator of compromise, IoC）で、特定のセキュリティインシデントを監視します。
 
 
## まとめ
脅威インテリジェンスは企業の情報セキュリティにおける重要な部分であるため、完全な脅威インテリジェンスデータベースを備えた業者と提携することで、効果的に情報セキュリティ保護を展開し、スムーズな経営を維持できます。

TeamT5は、サイバー脅威の研究を専門としており、マルウェアおよびAPT（高度で持続的な脅威）の研究に10年以上携わっています。当社は地理および言語の強みを活かして効果的にアジア太平洋地域のハッキング攻撃を把握しているほか、世界レベルの情報セキュリティカンファレンスにたびたび出席し、研究成果を発表しています。

ぜひ、今すぐ当社にご連絡いただき、企業の情報セキュリティの第一歩を踏み出してください。

👉 https://teamt5.org/jp/request-information/

 
 
 
*参考文献: 
[threat intelligence - nist.gov](https://csrc.nist.gov/glossary/term/threat_intelligence)
 
*画像のソース: [Pixabay](https://pixabay.com/)

What are Tactics, Techniques, and Procedures (TTPs)? Why do CTI analysts talk about them all the time?

Related Post

What is Cyber Kill Chain? Why Does It Matters?

What is the Diamond Model of Intrusion Analysis? Why Does It Matter?

What is Cyber Threat Intelligence (CTI)? Why Does It Matter?