2019年国际APT组织情况汇总
近年来,具备国家和组织背景的 APT攻击日益增多,例如:2010 年攻击伊朗核电站的 “震网病毒”、针对 Google 邮件服务器的“极光攻击”、2013 年韩国金融和电视媒体网络 被大面积入侵而瘫痪等等,2014 年 APT攻击的主要目标行业是金融和政府,分别高达 84% 和 77%。
2020 年初,奇安信威胁情报中心发布了《中国高级持续性威胁(APT)2019 年报告》。 报告中指出:
(1)2019 年中, APT组织最为关注的机构类型是政府(包括外交、政党、选举相 关)和军事(包括军事、军工、国防相关)依然是 APT 威胁的主要目标,能源(包括石 油、天然气、电力、民用核工业等)、通信行业也是 APT攻击的重点威胁对象。
由于更加组织化的网络犯罪团伙的活跃活动,导致金融(包括银行、证券、数字货币 等)和零售(电子商务、餐饮等)行业所面临的高级威胁现象越发严峻。
图 1 全球 APT组织关注领域分布
(2)高级威胁活动涉及目标的国家和地域分布情况统计如下图,可以看到高级威胁攻 击活动几乎覆盖了全球绝大部分国家和区域。
图 2 全球 APT组织地域分布
(2)奇安信公司累计监测到针对中国境内目标发动攻击的境内外 APT组织 38 个,通 过研究报告等形式,对外披露了包括海莲花(越南)、 美人鱼(中东)、摩诃草(印度)、 蔓灵花(印度)、黄金眼(国内)等多个由 奇安信 命名的 APT 组织 。并将数十万高精准 失陷类情报不断应用到产品的检测能力中。
2012 年 4 月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、 航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织 主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目
标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取 系统中相关领域的机密资料。根据该组织的某些攻击特点,奇安信公司将其命名为 OceanLotus(海莲花)。在 2017 年的监测中,海莲花仍处于活跃状态,同时在不断的更新 攻击手法。
传统安全防御体系的设备和产品遍布网络 2 ~ 7 层的数据分析。其中,与 APT攻击相 关的 7 层设备主要是 IDS、IPS、审计,而负责 7 层检测 IDS、IPS 采用经典的 CIDF检测模 型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观 APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在 这种情况下,依靠已知特征、已知行为模式进行检测的 IDS、IPS 在无法预知攻击特征、攻 击行为模式的情况下,理论上就已无法检测 APT攻击。
APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。 传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。但 依靠这种分析方式,传统安全设备通常都无法对 APT攻击的各个阶段进行有效的检测,也 就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如 果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存
储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结 构化数据、非结构化数据,涵盖了视频、图片、文本等等多种格式,无法直接进行格式化 检索,安全人员也就无法从海量的数据中找到有价值的信息。
在安全形势不断恶化的今天,政府、军队、金融、大型企业等客户所处的特殊位置, 经常会面临来自互联网的攻击威胁,如何在攻防实战中充分发挥安全防御的价值,越来越 成为安全人员所关注的重点;实战化攻防场景在安全体系如何搭建,实战化攻防经验在 HW 过程中如何传递,实战化攻防场景中红队常用哪些攻击战术和攻击手段,蓝队应对攻击常 用的战术战略,如何在攻防实战或演习中提升自身的安全能力……
安全的对抗是动态的过程,业务在发展,网络在变化,技术在革新,人员在更替,网 络安全绝不是一劳永逸的工作,虽然企业的安全管理人员已经在网络中的各个位置部署了 大量的安全设备,但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成 泄漏、损坏或篡改等严重损失。在实战攻防对抗中,监测分析是返现攻击行为的主要方 式,在第一时间发现攻击行为,可为应对提供及时支撑、为响应处置争取充足时间,因此 企业需要在其网络中部署威胁感知产品,及时发现潜藏在其网络中的安全威胁,对威胁的
恶意行为实现早期的快速发现,对受害目标及攻击源头进行精准定位,对入侵途径及攻击 者背景的研判与溯源,从源头上解决企业网络中的安全问题,尽可能地减少安全威胁对企 业带来的损失。
参考资料
红蓝攻防构建实战化网络安全防御体系
青藤云安全 2022攻防演练蓝队防守指南
2019年国际APT组织情况汇总相关推荐
- 刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
刺向巴勒斯坦的致命毒针--双尾蝎 APT 组织的攻击活动分析与总结 封面-pic1 一.前言 双尾蝎APT组织(又名:APT-C-23),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构.军 ...
- TNF100北京2019年国际越野赛完赛情况分析(通过完赛数据透视越野跑如何成功入坑)
TNF100北京2019年国际越野赛完赛情况分析 概述:TNF100 2019年北京国际越野赛在05-12下午4点已经落下帷幕,通过官方发的一个完赛人员的成绩表单,笔者做了如下的数据分析. PS:对于 ...
- 2019北大计算机夏令营,2019北大清华还有哪些活动?夏令营情况汇总
2019北大清华还有哪些活动?夏令营情况汇总 导读:近期,清华.北大2019年暑期夏令营正在报名.很多目标清北的考生还非常关注还有哪些机会可以参与清北夏令营?高校在暑假期间举办的夏令营和自主招生有千丝 ...
- 2019年9月技术栈情况汇总
java初级程序员一枚,回顾技术掌握情况,记录成长蜕变过程. 2019年9月技术栈情况汇总 基础概况 具体应用技能 一.掌握javaEE开发常用类库,组件,框架,中间件等使用. 1.基础 2.数据库 ...
- 2019中山大学计算机考研人数,中山大学2019考研报录情况汇总及分析
中山大学坐落在广东省广州市,有着一百多年办学传统.作为中国教育部直属高校,通过部省共建,中山大学已经成为一所国内一流.国际知名的现代综合性大学.是国家"211工程"重点建设和&qu ...
- [译] APT分析报告:03.OpBlueRaven揭露APT组织Fin7/Carbanak(上)Tirion恶意软件
这是作者新开的一个专栏,主要翻译国外知名的安全厂商APT报告文章,了解它们的安全技术,学习它们溯源APT组织的方法,希望对您有所帮助.前文分享了钓鱼邮件网址混淆URL逃避检测,这篇文章将介绍APT组织 ...
- 2019北京国际智慧城市、物联网、大数据博览会
2019北京国际智慧城市.物联网.大数据博览会 2019Beijing International Smart City, Internet of Things, Big Data Expo 前言: ...
- 新型APT组织正在攻击全球的政府实体
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 ESET 公司称发现一个新型 APT 组织正在攻击全球范围内的实体,该组织被命名为 "FamousSparrow". 该 A ...
- 四川双流高中2021高考成绩查询,超全!2019四川各地高中高考喜报汇总!
原标题:超全!2019四川各地高中高考喜报汇总! 七中林荫 七中高新 高新目前有712分的学生,700分以上目前有6个了 石室中学 2019年四川省高考理科状元,数学满分的超级学霸.张家杰高考裸分71 ...
最新文章
- 人脸识别 性能评价指标
- .NET程序设计之四书五经
- OpenGL SDK glew(OpenGL Extension Wrangler Library )
- iphone定时关机_成都苹果维修点教你iPhone手机死机、关不了机怎么处理?
- 3DSlicer12:风格准则
- 刷新存储器的容量单位是什么_存储系统 半导体存储器
- mysql的initial_mysql Lost connection to MySQL server at ‘reading initial communication packet
- include函数_include()函数以及JavaScript中的示例
- vue引入id3_vue常见知识点
- ssh进入docker容器_如何通过SSH进入正在运行的容器
- 原则 principles
- miinCMP企业网站系统,正开发新浪SAE云应用版
- pip安装python依赖成功,pycharm中import出错
- ALEXA解释(日IP500,可以使你进10万内)
- 索尼koov机器人比赛_搭上“想象”去成长 索尼KOOV可编程教育机器人评测
- matlab三次样条插值代码
- Win10 yolov5 6.0版本使用tensorrtx部署tensorRT
- 仅以此纪念我一波三十折的2022保研路--上岸华科网安直博
- windows 子系统 linux (WLS):启用Win10的Linux子系统
- 蓝牙BLE芯片PHY6222之GPIO按键操作