从情报分析的高度来看APT***
【注】文本转载自台湾的资安人。情报分析(Intelligence Analysis)是指对有用的信息进行分解、合成,通过逻辑推理得出有价值的结论。借助信息化的手段,当前的情报分析手段和工具被美国军方归纳出了14种,包括文中提及的“意图分析”,“文化分析”、“群聚分析”,等等。美国军方已经建立了这样的情报分析系统,但对于应用在APT识别上,却是一个比较新颖的想法,我很赞同。
近来,国际间出现不少APT(Advanced Persistent Threat)***事件,也因此造成这个话题的热门。不过,八月初将于第19届美国骇客年会Defcon发表「亚洲区APT***解密」的Xecure Lab团队说,APT***,其实常被误解。
例如过去就曾有某许姓立法委员召开记者会,收到行政院秘书室的病毒信,要求要彻查资安,而这起事件被认为是一起「病毒信」事件,Birdman说,其实这正APT***当中的一环,秘书的电脑往往要处理最多机敏的事情,所以往往是公级的目标。所以最错误的处理,就是将之当成单一的病毒事件,扫毒结束后便以为事件结束。
APT的***武器都是相当独特的,采取0 day漏洞再搭配客制化***,由于是针对高价值的政治、经济、高科技、军事目标,因此往往也都是运用国家级的资源来制作***武器。也因此,任何的***行动都有其背后的目的,例如发行签章的公司被攻破,真正目标是要运用签章来进行下一步的布署,目的是对某个防守严密的政府机关进行社交工程,对方一看到经过签章的信件,便信任的打开,这反而是最危险的安全认证。
Birdman说,他们透过国外搜集APT、恶意程式的专家Mila的样本(注)来做研究,取其242个APT样本,对样本进行静态分析,观察出八大族群,而这些族群虽然都运用八到九种不同的漏洞,在使用恶意程式的方式上倒有固定类型。
此外,台湾、美国与香港分别是被APT***的前三名,显示可能由于这些地方相对有着良好的网路环境以及许多的骇客***中继站(C&C, Control & Command Server),成为遭受APT***最多的地方。他们也透过这个研究,找到了APT***武器贩售商,并与之对话,透过骇客的观点来看资安,可以知道的是, 目前红极一时的Apple系统将会是骇客未来的***发展目标。
而这个研究方向,主要是希望可以透过分析APT样本的行动与武器特征,找出背后的骇客集团特征和习惯,Birdman认为最重要的关键在于,现在资安的研究还停留在单一样本的分析,做单一恶意程式行为的分析,视野不能提升就难以观察到骇客集团的趋势与计划。
他强调,未来的资安策略应该是「情资导向」的防护思维。当你了解到这个集团的领导者是谁?有可能采用什么恶意程式工具?找谁来当打手?就越可能运用一些自动化的情资分析系统,推演分析出对方的战略,而不是将对方的***战略中的一小步,当成普通的病毒事件来处理,扫扫毒就算危机解除。
网路黑社会都军事化了,我们还在拿棍棒练身体,岂不是自以为无敌的义和团?这些是人的问题,得靠人解决。
【参考】APT和实时威胁管理必读系列
从情报分析的高度来看APT***相关推荐
- 从防御者视角来看APT攻击
前言 APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控.检测和缓解技术,并分别进行梳理,介绍分析代表性技术.这一篇分析现有的监控技术 ...
- 【持续更新】威胁情报 | 情报分析(主要是APT)信息源
威胁情报平台 | 公众号 | 个人号(偏APT方向) 公众号或官网 启明星辰VenusEye威胁情报中心 国家网络威胁情报共享开放平台 微步 天际友盟 安恒 腾讯 360 奇安信 黑灰产 个人号 威胁 ...
- Mandiant对APT1组织的***行动的情报分析报告
阅读这篇报告有助于我们了解Mandiant是如何对APT1组织进行追踪和分析的.这些分析手段综合了多种技术手段,包括专业的数字取证.恶意代码分析.恶意代码追踪,可能还有蜜网,当然,还有Google H ...
- INSA:美国须发展网络空间情报系统
据美联社2011年9月12日报道,美国的一个智库--INSA(Intelligence and National Security Alliance,情报与国家安全联盟)--宣布将发表一份旨在建议美国 ...
- 新型威胁分析与防范研究
新型威胁分析与防范研究 Last Modified @ 2013/5/26by yepeng [摘要]本文通过对以APT为代表的新型威胁的实例研究,分析了新型威胁的攻击过程.技术特点.当前国内外的发展 ...
- 从“边界信任”到“零信任”,安全访问的“决胜局”正提前上演
"数字宇宙造成的伤害,将变成物理伤害."--"爱因斯坦-罗森桥"虫洞 对大多数人来说,对数字化变革的切身体验从未像2020年新冠疫情爆发以来这般强烈.这一年,各 ...
- 练手扎实基本功必备:非结构文本特征提取方法
作者 | Dipanjan (DJ) Sarkar 编译 | ronghuaiyang 来源 | AI公园(ID:AI_Paradise) [导读]本文介绍了一些传统但是被验证是非常有用的,现在都还在 ...
- 宇宙中至少有两种方式能灭绝人类,第一种仅需两秒
来源:科学的乐园 在科幻小说<三体Ⅲ:死神永生>之中,歌者文明"母世界"的宇宙飞船曾经利用宇宙规律武器二向箔来摧毁地球文明,将地球所处的三维世界完全变成了一个二维世界. ...
- 任正非最新讲话透露:华为在加快开发统一的人工智能平台
来源:华为心声社区 概要:华为在人工智能方面,最有条件,也最容易找到感觉的,无疑是在GTS(全球技术服务)领域. 华为在人工智能方面,最有条件,也最容易找到感觉的,无疑是在GTS(全球技术服务)领域. ...
最新文章
- 双指针算法(三):力扣【167.两数之和 | 经典例题
- 《CSS揭秘》学习demo:第三章 形状
- 前端模块化工具--webpack学习心得
- JavaWeb:tomcat服务器安装总结及Http协议
- layui option 动态添加_layui select动态添加option的实例
- 目标检测(六)--SPPNet
- IBM的ITIL管理解决方案
- 基于etcd实现大规模服务治理应用实战
- linux中realplayer.rpm格式的软件安装,Linux_Linux中realplayer播放器安装步骤,Linux操作系统在安全性能上远 - phpStudy...
- Java程序员在写SQL程序时候常犯的10个错误
- 安卓手机反应慢又卡怎么办_安卓手机出现卡顿反应慢的具体处理方法
- Oracle 同音字查询,对外汉语汉字教学
- 清华大学何平:央行数字货币具备许多优势 但不可盲目推进
- 基于K-means的彩色图像聚类之代码实现
- 如何输入版权符号 copyright
- 【Oracle】record varray (associative array 关联数组) table (nested table type 嵌套表类型)和%type、%rowtype的使用详解
- Intel主板芯片组发展历史
- 轻松解决CENTOS装完独立显卡也无法显示1920x1080问题
- FCK上传图片问题解决
- 设置SVN忽略文件和目录(文件夹)