ATP 攻击,即特定的组织(特别是政府直接或者间接支持的高水平黑客组织或者团体)对于特定的目标进行长期的、持续的、有计划的网络攻击形式和破坏行为。APT 攻击是以窃取高价值资产或者有目的的破坏信息系统为目标的,APT 一般具有三个特性,即高级性、持续性和危害性。
1)高级性主要体现在攻击者的情报收集能力、恶意代码编写及利用能力和漏洞利用能力方面,其中,情报收集与漏洞使用相辅相成,在丰富的情报基础上,熟练的使用专业的漏洞工具,达到 APT 攻击的目的。
2)持续性主要体现在特定的条件下,使用多种技术,对目标的长期监控,无论如何,攻击者的目光从未从目标群体离开,相关情报的收集也一直在进行中,只是在等待一个合适的时机。
3)危害性则体现在团队协作、多种完备技术及方法和健全的组织性方面,即大多数的 APT 攻击都是具备特定背景的网络攻击行为,是一种活跃在网络空间的间谍行为。
从这里可以看出,APT
既是技术词汇,也是政治词汇,是国家博弈和地缘政治在网络空间的一个折射,自 2006 年被美国空军信息战中心业务组指挥官 Greg
Rattray 上校提出后,移动智能终端的发展,使 APT 由 PC
端蔓延至移动智能终端侧,移动智能终端的广泛使用及其高社会属性,给移动智能终端安全及网络空间安全带来了新的威胁,成为了 APT
攻击内网的一个新的跳板。
长期以来,APT
都是网络空间的巨大威胁,且频发的 APT
攻击成了网络空间安全的常态,随着发展,已经逐渐渗透到信息社会的各个角落,从早期的情报信息窃取威胁,到今天的针对网络基础设施、工业控制设施、移动智能终端,进行了全面的迁移,攻击是否发生只与目标承载的资产价值和更重要目标的关联度有关,而与攻击难度无关,日益革新的技术,在给经济生产等带来推动力的同时,也推动了
ATP 攻击相关技术的发展。
在 APT 的攻击模型方面,包括了杀伤链模型、钻石模型、TTP模型和ATT&CK模型等。
1)杀伤链模型,最初起源于军事中的
C5KISR 系统中的 K(kill),后由洛克希德-马丁公司(全球最大的国防工程承包商,根据 Cybersecurity 500
名单,洛克希德-马丁公司在全球上市网络安全企业中位列前十)提出网络安全杀伤链七步模型,用来识别和防护网络入侵行为。网络安全杀伤链七步模型包括侦测、武器化、投递、漏洞利用、安装、控制和目标行动等。
2)钻石模型是由 Sergio Caltagirone、Andrew Pendergast、Christopher Betz 在 2013 年论文 The Diamond Model of Intrusion Analysis 中提出的一个针对网络入侵攻击的分析框架模型。该模型由四个核心特征组成,分别为:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按
照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。同时,模型还
定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操
作性的)两个重要的扩展元特征。该模型也认为,无论何种入侵活动,其基本的元素都是一个一个的事件,而每个事件都可以由上述四个基本核心特征组成。![]()
3)TTP,该术语来自于三个英文词汇的首字母组合,即战术
Tactics、技术 Techniques 和过程
Procedures,是描述高级威胁组织网络攻击的重要指标,出自于《美国国防部军事及相关术语词典》,最早用于军事领域和反恐活动,后延伸到信息安全领域,并被用来描述相应
的过程。TTP 在网络情报中是核心信息,它与指标、事件、活动、攻击者、攻击目标有着密切的关联关系。4)ATT&CK
也就是 Adversarial Tactics, Techniques, and Common
Knowledge。顾名思义,这并不是一项技术,而是“对抗战术、技术和常识”框架,是更加底层“知识库”的基础框架,是由攻击者在攻击企业时会利用的
12 种战术和 244 种企业技术组成的精选知识库。它的着眼点不是单个的 IOC,而是 IOC
处于攻击过程中的上下文,也就是从点扩展到了面扩展到了链。当 ATT&CK
把那些翻阅字典一样,轻易地找到相对应的常见战术动作,甚至做到杀伤链还原,更好地应对攻击。APT 最经典的防护模型之一则是滑动标尺模型,它来源于美国系统网络安全协会(SANS),主要应对日益复杂的网络环境和不断变化的攻击手段。滑动标尺模型分为五大类别,这五大类别之间具有连续关系,并有效展示了防御逐步提升的理念。这五大类别不是固定不变的,且重要程度不是均等的,
每个类别的某些措施与相邻类别密切相关,实现网络安全目标,组织应构建安全根基和文化,并不断完善,滑动标尺模型还能潜在促进组织的安全成熟进程。![]()
(翻译自滑动标尺模型白皮书 The Sliding Scale of Cyber Security)攻击与防御在不断的进行着博弈,争取各自最大的利益。在攻击方面,攻击手段和攻击
投放的方式越来越多样化,且现有的攻击者目前拥有了更加明确的组织,APT
威胁的归属问题也在发生变化,同时攻击的目标可能进一步延伸,比如说政府、外交、军队、国防,再比如说能源、电力、金融等。在防御方面,随着攻击技术的不断的发展,0day
漏洞也在逐渐的延伸到包括 PC、服务器、移动终端、路由器、工控设备等多种类型的设备上,这就要求我们要进一步加强对 0day
漏洞能力的储备。在做防护之前,我们要清楚现有技术的一些缺陷,比如说高度依赖特征、基于已有知识体系、评价体系落伍、攻守不对称、缺乏关联能力、
对未知威胁缺乏感知等,这就要求我们关注攻防的基础,例如数据的重要性,在一些 APT 的案例中,支撑 APT
攻击最基础的也是最重要的就是情报的收集与分析,我们要关注新技术带来的机遇,但也要关注新技术给数据安全带来的挑战,在数据价值高度释放的同时,关注伴随而来的数据滥用、数据泄露、隐私薄弱等安全问题,在此基础上,构建动态可用的数据安全生态。更多有关 APT 的最新内容,这本新书都有全面讲解哦。
☟☟☟
![]()
一线安全研究员合力打造
《移动APT:威胁情报分析与数据防护》
本书整理介绍了针对移动智能终端的
APT 事件,并深入讲解了此类事件的分析方法、溯源手段和建模方法。书中首先介绍了 APT 的相关概念和对应的安全模型,让读者对移动 APT
这一名词有了初步的认识。然后讲述了公开的情报运营方法,使读者可以按需建立自己的知识库。紧接着围绕移动 APT
事件中的主要载体(即恶意代码)展开说明,包括对它的分析、对抗方式,基于样本的信息提取方式以及基于机器学习、大数据等手段的威胁处理方法。最后给出了典型的事件案例,并对这些内容进行了总结。
高坤,曾就职于安天移动安全,多年反病毒工作经验,发现过多起与高级威胁相关的安全事件。他关注的领域有移动恶意代码分析、移动高级威胁分析及溯源、恶意代码自动化分析等。李梓源,奇安信移动安全研究员,曾就职于安天移动安全,从事移动恶意代码分析工作多年。他关注的领域有移动恶意代码攻防技术、移动高级威胁分析及溯源、移动黑色产业链分析、客户端安全等。徐雨晴,曾就职于启明星辰、安天移动安全,专注于情报分析和态势感知的研究,现为重庆邮电大学计算机科学与技术学院在读博士。她参与制定了十余项国家级、行业级的网络标准,并考取了CISSP、CISA、信息系统项目管理师(高级)等多项证书。现在的研究领域为数据与隐私安全、对抗攻击与防御、机器学习等。1、活动时间:2021年7月28日-7月31日
2、开奖时间:8月1日8:00点整
3、不用转发朋友圈,需要点赞,点在看(不点无效)
4、公众号回复“我要学APT”
5、记住,参与码为:ms08067
![]()
扫描下方二维码加入星球学习
加入后会邀请你进入内部微信群,内部微信群永久有效!
![]()
![]()
![]()
![]()
![]()
![]()
快点击左下方阅读原文直达一睹为快吧!
文章来源: http://mp.weixin.qq.com/s?__biz=MzU1NjgzOTAyMg==&mid=2247494644&idx=1&sn=4351ea190a7ed8e68d7409b81e87b8ba&chksm=fc3c52f5cb4bdbe39bb7d4663d6312764ab79efcd21edb47e83729de3dc902621360f22fc1bb#rd
如有侵权请联系:admin#unsafe.sh