时效性 - 探测和访问系统的时间
资源 - 事件中使用的知识和工具的级别(技能和方法将会影响到这一点)
风险容忍度 - 为了不被发现而受到威胁的程度
技巧和方法 - 整个活动中使用的工具和技巧
行动 - 威胁或许多威胁的确切行动
攻击起点 - 事件发生点的数量
参与攻击的人数 - 事件涉及多少个内部和外部系统,有多少人的系统具有不同的影响/重要性权重
信息来源 - 通过在线信息收集来识别关于任何特定威胁的任何信息的能力(可以通过一点积极主动的方式找到)
0x02.APT的一些知名论坛,团体
目前业界比较流行的防御APT思路有三种:
1、采用高级检测技术和关联数据分析来发现APT行为,典型的公司是FireEye;
2、采用数据加密和数据防泄密(DLP)来防止敏感数据外泄,典型的公司是赛门铁克;
3、采用身份认证和用户权限管理技术,严格管控内网对核心数据和业务的访问,典型的公司是RSA。
至于其他说什么人工智能,机器学习防止APT,都还在发展阶段,而题主觉得防御应该是从基础传统防御到到云大物移四个层面,最后到人工智能,这些都是基础环境,技术层面的防御措施。
0x03.APT有哪些攻击阶段?
所谓攻击阶段只是在进行黑客攻击中典型的攻击手段和形式,不一定界限清晰,但都有迹可循。
题主最早了解阶段是从我们最常见的大规模,也是比较简单的一个类似于黑客渗透攻击阶段模型:信息收集,攻击阶段,提权阶段,后渗透阶段,销声匿迹。
但APT攻击会更加系统,分布,协作,一般分成信息收集,武器化部署,传递载荷,利用,安装,命令和控制,执行
而杀伤链一般是6个阶段:发现-定位-跟踪-瞄准-入侵-完成,APT攻击模型Cyber-Kill-chain与之对应
0x04.APT分析模型
这里借用两个分析模型,一个是kill-chain七层模型,一个是钻石模型
4.1Cyber-Kill-Chain攻击杀伤链
对于混迹于安全圈的我们来说,洛克希德-马丁的网络杀伤链(Cyber-Kill-Chain,也被我们称网络攻击生命周期),专门用来识别和防止入侵。然而,攻击模式会一直变化,就拿Valut7来说,里面提到的攻击模型,都是在08年就已经开始在使用,而却在16年,17年才被曝光,可想而知,攻防之间的时间差是多么的严峻,所以我不给予希望一个Kill-Chain能够带来多大的安全防护,而重在开拓视野,最好能未雨绸缪,如今,Valut8已经曝光,企业安全,似乎远远没有我们想象的那么安静。
网络攻击杀伤链模型用于拆分恶意软件的每个攻击阶段,在每个阶段有对应的特征用于识别,但用我后面会提到的一句:堵不如疏,殊途同归,具体如何,后面会具体说说我自己的理解,现在先简单说说Cyber-Kill-Chain的每个阶段。
4.2什么是网络攻击杀伤链(Cyber-Kill-Chain)?
“杀伤链”这个概念源自军事领域,它是一个描述攻击环节的六阶段模型,理论上也可以用来预防此类攻击(即反杀伤链)。杀伤链共有“发现-定位-跟踪-瞄准-打击-达成目标”六个环节。
在越早的杀伤链环节阻止攻击,防护效果就越好。例如,攻击者取得的信息越少,这些信息被第三人利用来发起进攻的可能性也会越低。
洛克希德-马丁公司提出的网络攻击杀伤链Cyber-Kill-Chain与此类似,本质是一种针对性的分阶段攻击。同样,这一理论可以用于网络防护,具体阶段如下图所示:
Cyber-Kill-Chain
这就像传统的盗窃流程。小偷要先踩点再溜入目标建筑,一步步实行盗窃计划最终卷赃逃逸。要利用网络杀伤链来防止攻击者潜入网络环境,需要足够的情报和可见性来明了网络的风吹草动。当不该有的东西出现后,企业需要第一时间获悉,为此企业可以设置攻击警报。
另一个需要牢记的点是:在越早的杀伤链环节阻止攻击,修复的成本和时间损耗就越低。如果攻击直到进入网络环境才被阻止,那么企业就不得不修理设备并核验泄露的信息。
要想明确杀伤链技术是否适合自己的企业,不妨通过杀伤链模型的几个阶段入手,来发现企业应当核实的问题。
0x05.被透露的APT攻击
https://github.com/kbandla/APTnotes
0x06.一些APT信息获取渠道
1.第一类:Github
APT大事件:https://github.com/kbandla/APTnotes
2.第二类:互联网安全商
360威胁情报中心:https://ti.360.net/
IBM:https://exchange.xforce.ibmcloud.com/
3.第三类:开源安全威胁情报
Threatminer:https://www.threatminer.org/
ThreatBook:https://x.threatbook.cn/
4.付费类威胁情报
知道创宇:https://www.yunaq.com/gpt/
NOSEC:https://nosec.org/
5.资讯类威胁情报
安全牛:http://www.aqniu.com/category/threat-alert
安全客:http://bobao.360.cn/news/index
secwiki:https://www.sec-wiki.com/index.php
Tools:https://www.t00ls.net/
sec-un:https://www.sec-un.org/category/安全威胁情报/
IBM:https://securityintelligence.com/
天际友盟:https://www.sec-un.com/post_queryByPage.action?pager.page=1
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
7592
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
