【草稿待完成】从StrongPity一联网组件到APT的溯源与追踪-下-APT追踪和情报系统

最新推荐文章于 2022-11-21 16:54:00 发布
最新推荐文章于 2022-11-21 16:54:00 发布
阅读量171 收藏
点赞数
分类专栏: APT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JiangBuLiu/article/details/114895802
版权
本文深入探讨了NIST网络安全框架,强调了自适应级别的预测性需求,指出信息安全连续监控(ISCM)在提升态势感知能力中的作用。同时,提到了威胁情报管理平台(TIMP)在二进制安全分析中的重要性,建议使用威胁中心获取相关情报。
摘要由CSDN通过智能技术生成

草稿草稿

NIST网络安全框架

NIST网络安全框架分为3个部分,分别是:风险管理过程、集成风险管理项目和外部参与;以及4个层次,这4层反映组织的安全成熟度水平,分别是:局部、风险指引、可重复和自适应。

自适应

自适应是网络安全框架中最高的级别,在风险管理过程中更有预测性,而非是传统的响应式。
根据《网络安全框架》(P14)文中“通过不断完善结合先进的网络安全技术和实践的过程中,组织积极适应不断变化的网络安全景观和响应不断变化,并及时复杂的安全威胁。”
笔者个人认为如果需要支撑上文中“预测性”的可能,是需要大量的数据判断,进行一些可推测可预见的判断。这又引申出了另一个框架的概念——“连续监控框架”。

信息安全连续监控(ISCM)

《信息安全持续监控ISCM白皮书》有定义:
信息安全连续监控是维持对信息安全、漏洞和威胁的持续认识,以支持风险管理决策。
连续监控通过保持对网络状态和网络威胁的不断理解,帮助组织改善态势感知能力。通过围绕网络和内部数据的安全态势收集信息,并结合对当前威胁级别及外部数据的理解,安全团队就有很大的机会阻止威胁。”
此处的“安全团队”一般指的就是安全分析师。

最低0.47元/天 解锁文章
建瓯最坏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用日志审计追踪APT***
weixin_34007291的博客
06-23 287
这个TT安全的文章讲述了Google的安全人员利用DNS日志来追踪极光(Aurora)***的事情。 作为一种典型的APT***,Google的安全经理Adkins说:“Google发现最有用的方法是系统数字取证、事件日志和恶意软件分析。”当Google发现了网络***后,安全团队变得十分敏感,他们仔细检查,不放过每个简单的异常事件。 【附】什么是APT***?这可是当下最热门的网络安全词...
了解你的对手:追踪快速响应的APT攻击
m0_37442062的博客
07-13 909
目录 使用投资者指南和联系人列表作为诱饵 Bozok远控的能力 确认攻击源头 亚太地区投资人联系方式诱饵 结论 扩展阅读 作者:litdg转载自:https://www.freebuf.com/articles/system/16389.html 如有问题,请联系删除。 10月24日到25日期间,我们检测到两起来自”admin@338”(根据攻击的特征,给攻击者起的代...
APT 攻击溯源方法
最新发布
qq_16334741的博客
11-21 2805
概述:当今世界正值百年未有之大变局,网络空间成为继陆、海、空、天之后的第五大疆域,安全威胁也随之延伸至网络空间。没有网络安全就没有国家安全,在新时代网络空间安全已经上升至国家安全的高度。高级持续性威胁(Advanced Persistent Threat,APT)攻击是网络空间中威胁最大的一种攻击,其危害性大、隐蔽性强、持续时间长。考虑到APT攻击的溯源一直是网络空间攻防中极为重要的一环,提出了一种基于网络流量风险数据聚类的APT攻击溯源方法。首先介绍了所提方法的工作流程,其次对流程中的风险数据聚类算法进行
StrongPity联网组件APT溯源追踪--样本分析与YARA规则
JiangBuLiu的博客
12-03 349
联网样本分析与初始载荷公开情报中的StrongPity联网组件样本特征及检测规则YARA规则思路特殊字符串字符串分离赋值代码特殊函数基于PE结构寻找同源基于组件找初始载荷 公开情报中的StrongPity联网组件 2020年5月23日,推特用户发布了一条推文,公开一个StrongPity的样本信息: 分析后发现这是一个很明显的多组件攻击链中的联网组件,且该组织的披露信息较少,产生了好奇心,于是对其进行分析和历史样本查找。 样本特征及检测规则 具体行为总结如下: 拼接字符串,解密部分拼接的字符串; 创建“
行业文档-设计装置-一种草稿纸储存传送器.zip
08-26
4. **检索与传送机制**:基于用户的需求,设备能通过数字索引快速找到特定的草稿,并通过一个安全的出纸口将其传送出,这可能涉及到精确的机械传动和控制技术。 5. **用户界面**:为了方便用户操作,设计装置可能会...
行业文档-设计装置-一种带草稿纸的铅笔笔套.zip
08-26
在当前的【标题】"行业文档-设计装置-一种带草稿纸的铅笔笔套.zip"中,我们可以解析出几个关键的知识点,这主要涉及产品设计、创新装置以及教育用品领域。首先,"设计装置"表明这是一个关于创新设计的技术文档,可能...
Go-enmasse一个实用程序来创建GMail邮件草稿从golang编译模板和JSON数据
08-13
标题中的“Go-enmasse”是一个使用Go语言开发的工具,专门用于创建GMail邮件草稿。这个程序的独特之处在于它结合了模板编译和JSON数据,使得动态生成邮件内容变得更加方便和高效。在Go语言中,模板引擎是标准库的一...
行业文档-设计装置-一种可重复使用的草稿纸.zip
08-30
在这种背景下,"一种可重复使用的草稿纸"可能是指一个数字化的或物理的设计工具,旨在帮助设计师进行反复试验和修改,提高设计效率。这篇行业文档可能是关于这种创新设计工具的详细介绍,包括其功能、原理、优势以及...
draft-js-transactions:将多个相互依赖的编辑暂存到草稿EditorState并一次应用它们
05-14
草稿js交易 draft-js-transactions是一个轻量级的,无依赖的库,用于一次对EditorState进行多次编辑。 安装 :police_car_light: 持有人,尚未发布 :police_car_light: npm install draft-js-transactions --save ...
StrongPity APT:不畏曝光,一心迭代,攻城掠地
smellycat000的专栏
07-01 722
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士团队思科Talos团队和Bitdefender公司分别发布报告指出,APT组织StrongPity(又称Promet...
StrongPity网络间谍活动“重出江湖”!
systemino的博客
08-05 557
威胁组织正在使用WinRAR和其他合法软件包的恶意版本来感染目标,很有可能是通过水坑攻击的方式。 StrongPity新间谍软件活动 据AT&T Alien Labs的研究人员称,该综合恶意软件的幕后攻击者是名为StrongPity(又名Promethium)的APT组织。近日,该组织已经开展了一项新的间谍软件活动,截至2019年7月仍在进行中。研究人员表示,该组织已经重...
安全分析--追踪溯源的找人思路
weixin_30325071的博客
02-02 899
零、绪论:   一旦发生攻击行为,确定攻击者或者说是责任人一般是定损止损快速恢复业务之后的第二反应。谁要为事件负责?谁该承担责任变成了进一步追查的目标。可是在网络攻击行为中能够查到人或者组织谈何容易,一般能够抓到攻击者或者攻击组织的大约能到30%就很不错了。但是呢下面还是从几个维度谈谈如何找人。 一、公司或组织内部的异常操作者 一般异常操作者,这里我们指误操作者,不是有意进行的攻击行为,所以...
建瓯最坏的YARA - APT | 病毒检测 | 常用模块和字段
JiangBuLiu的博客
01-26 974
建瓯最坏的APT规则的YARA常用字段YARA规则PE模块文件类型判断 YARA规则 PE模块 文件类型判断 Dll文件:pe.is_dll() 32位:pe.is_32bit() 64位:pe.is_64bit() 文件大小:filesize < 100KB 文件区间:(如66KB) 33KB < filesize < 99KB,会报错,YARA官方文档没有搜到区间怎么写,加了括号(33KB < filesize < 99KB)也不行 最后写成这样可以:(33KB <
近期针对土耳其和叙利亚的Promethium活动分析+ 链接ioc情报
blackorbird的博客
10-24 302
祝同行1024节,身体健康,远离疾病,少加班,多运动。1、近期针对土耳其和叙利亚的Promethium活动分析恶意软件名:Promethium别名:StrongPity时...
[网络安全自学篇] 七十四.APT攻击检测溯源与常见APT组织的攻击案例
杨秀璋的专栏
05-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WannaCry蠕虫的传播机制,带领大家详细阅读源代码。这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。希望文章对您有所帮助~...
从美国对APT10攻击的溯源看美国应急响应中心的追溯能力(转)
weixin_30505225的博客
05-08 693
  最近老大让看了几篇很不错的溯源文章,感觉从思路,方法上都很和不错。为APT溯源搭建一个起码的思维框架,这里仅作学习参考。  美国安全厂商对APT10的报道和溯源一直有持续,截至2019年2月6日,APT10又有新的披露,参见(https://github.com/CyberMonitor/APT_CyberCriminal_Campagin_Collections/blob/master/2...
基于上下文感知计算的APT攻击组织追踪方法
weixin_44981569的博客
01-17 3754
基于APT组织知识进行大数据场景下的APT监控的关键技术
近5年典型的的APT攻击事件
热门推荐
煮酒闲谈
08-08 2万+
APT攻击 APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。 本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析 (为了加深自己对APT攻击的理解和学习) Google极光攻击 2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值