【注】文本转载自台湾的资安人。情报分析(Intelligence Analysis)是指对有用的信息进行分解、合成,通过逻辑推理得出有价值的结论。借助信息化的手段,当前的情报分析手段和工具被美国军方归纳出了14种,包括文中提及的“意图分析”,“文化分析”、“群聚分析”,等等。美国军方已经建立了这样的情报分析系统,但对于应用在APT识别上,却是一个比较新颖的想法,我很赞同。

近来,国际间出现不少APT(Advanced Persistent Threat)***事件,也因此造成这个话题的热门。不过,八月初将于第19届美国骇客年会Defcon发表「亚洲区APT***解密」的Xecure Lab团队说,APT***,其实常被误解。

例如过去就曾有某许姓立法委员召开记者会,收到行政院秘书室的病毒信,要求要彻查资安,而这起事件被认为是一起「病毒信」事件,Birdman说,其实这正APT***当中的一环,秘书的电脑往往要处理最多机敏的事情,所以往往是公级的目标。所以最错误的处理,就是将之当成单一的病毒事件,扫毒结束后便以为事件结束。

APT的***武器都是相当独特的,采取0 day漏洞再搭配客制化***,由于是针对高价值的政治、经济、高科技、军事目标,因此往往也都是运用国家级的资源来制作***武器。也因此,任何的***行动都有其背后的目的,例如发行签章的公司被攻破,真正目标是要运用签章来进行下一步的布署,目的是对某个防守严密的政府机关进行社交工程,对方一看到经过签章的信件,便信任的打开,这反而是最危险的安全认证。

Birdman说,他们透过国外搜集APT、恶意程式的专家Mila的样本(注)来做研究,取其242个APT样本,对样本进行静态分析,观察出八大族群,而这些族群虽然都运用八到九种不同的漏洞,在使用恶意程式的方式上倒有固定类型。

此外,台湾、美国与香港分别是被APT***的前三名,显示可能由于这些地方相对有着良好的网路环境以及许多的骇客***中继站(C&C, Control & Command Server),成为遭受APT***最多的地方。他们也透过这个研究,找到了APT***武器贩售商,并与之对话,透过骇客的观点来看资安,可以知道的是, 目前红极一时的Apple系统将会是骇客未来的***发展目标。

而这个研究方向,主要是希望可以透过分析APT样本的行动与武器特征,找出背后的骇客集团特征和习惯,Birdman认为最重要的关键在于,现在资安的研究还停留在单一样本的分析,做单一恶意程式行为的分析,视野不能提升就难以观察到骇客集团的趋势与计划。

他强调,未来的资安策略应该是「情资导向」的防护思维。当你了解到这个集团的领导者是谁?有可能采用什么恶意程式工具?找谁来当打手?就越可能运用一些自动化的情资分析系统,推演分析出对方的战略,而不是将对方的***战略中的一小步,当成普通的病毒事件来处理,扫扫毒就算危机解除。

网路黑社会都军事化了,我们还在拿棍棒练身体,岂不是自以为无敌的义和团?这些是人的问题,得靠人解决。

【参考】APT和实时威胁管理必读系列

从情报分析的高度来看APT***相关推荐

  1. 从防御者视角来看APT攻击

    前言 APT防御的重要性毋庸讳言,为了帮助各位师傅在防御方面建立一个总体认识,本文会将APT防御方法分为三类,分别是:监控.检测和缓解技术,并分别进行梳理,介绍分析代表性技术.这一篇分析现有的监控技术 ...

  2. 【持续更新】威胁情报 | 情报分析(主要是APT)信息源

    威胁情报平台 | 公众号 | 个人号(偏APT方向) 公众号或官网 启明星辰VenusEye威胁情报中心 国家网络威胁情报共享开放平台 微步 天际友盟 安恒 腾讯 360 奇安信 黑灰产 个人号 威胁 ...

  3. Mandiant对APT1组织的***行动的情报分析报告

    阅读这篇报告有助于我们了解Mandiant是如何对APT1组织进行追踪和分析的.这些分析手段综合了多种技术手段,包括专业的数字取证.恶意代码分析.恶意代码追踪,可能还有蜜网,当然,还有Google H ...

  4. INSA:美国须发展网络空间情报系统

    据美联社2011年9月12日报道,美国的一个智库--INSA(Intelligence and National Security Alliance,情报与国家安全联盟)--宣布将发表一份旨在建议美国 ...

  5. 新型威胁分析与防范研究

    新型威胁分析与防范研究 Last Modified @ 2013/5/26by yepeng [摘要]本文通过对以APT为代表的新型威胁的实例研究,分析了新型威胁的攻击过程.技术特点.当前国内外的发展 ...

  6. 从“边界信任”到“零信任”,安全访问的“决胜局”正提前上演

    "数字宇宙造成的伤害,将变成物理伤害."--"爱因斯坦-罗森桥"虫洞 对大多数人来说,对数字化变革的切身体验从未像2020年新冠疫情爆发以来这般强烈.这一年,各 ...

  7. 练手扎实基本功必备:非结构文本特征提取方法

    作者 | Dipanjan (DJ) Sarkar 编译 | ronghuaiyang 来源 | AI公园(ID:AI_Paradise) [导读]本文介绍了一些传统但是被验证是非常有用的,现在都还在 ...

  8. 宇宙中至少有两种方式能灭绝人类,第一种仅需两秒

    来源:科学的乐园 在科幻小说<三体Ⅲ:死神永生>之中,歌者文明"母世界"的宇宙飞船曾经利用宇宙规律武器二向箔来摧毁地球文明,将地球所处的三维世界完全变成了一个二维世界. ...

  9. 任正非最新讲话透露:华为在加快开发统一的人工智能平台

    来源:华为心声社区 概要:华为在人工智能方面,最有条件,也最容易找到感觉的,无疑是在GTS(全球技术服务)领域. 华为在人工智能方面,最有条件,也最容易找到感觉的,无疑是在GTS(全球技术服务)领域. ...

最新文章

  1. 双指针算法(三):力扣【167.两数之和 | 经典例题
  2. 《CSS揭秘》学习demo:第三章 形状
  3. 前端模块化工具--webpack学习心得
  4. JavaWeb:tomcat服务器安装总结及Http协议
  5. layui option 动态添加_layui select动态添加option的实例
  6. 目标检测(六)--SPPNet
  7. IBM的ITIL管理解决方案
  8. 基于etcd实现大规模服务治理应用实战
  9. linux中realplayer.rpm格式的软件安装,Linux_Linux中realplayer播放器安装步骤,Linux操作系统在安全性能上远 - phpStudy...
  10. Java程序员在写SQL程序时候常犯的10个错误
  11. 安卓手机反应慢又卡怎么办_安卓手机出现卡顿反应慢的具体处理方法
  12. Oracle 同音字查询,对外汉语汉字教学
  13. 清华大学何平:央行数字货币具备许多优势 但不可盲目推进
  14. 基于K-means的彩色图像聚类之代码实现
  15. 如何输入版权符号 copyright
  16. 【Oracle】record varray (associative array 关联数组) table (nested table type 嵌套表类型)和%type、%rowtype的使用详解
  17. Intel主板芯片组发展历史
  18. 轻松解决CENTOS装完独立显卡也无法显示1920x1080问题
  19. FCK上传图片问题解决
  20. 设置SVN忽略文件和目录(文件夹)

热门文章

  1. bzoj 3675: [Apio2014]序列分割
  2. 03:计算矩阵边缘元素之和
  3. vs2012中VC连接mysql
  4. C# WINFORM的自动更新程序
  5. 剑指offer重构二叉树 给出二叉树的前序和后序重构二叉树
  6. 使用完成端口监控文件目录的例子
  7. sql取出某一列不重复数据的ID解决办法
  8. 在有限多的不大于100的正整数中,找出尽量多个相加起来值介于98~102之间的组合...
  9. 安卓案例:利用SQLiteOpenHelper操作数据库及表
  10. kotlin 和java 混编