本篇纯属个人看法与技术经验交流,不代表任何团体和组织。文章有语句不通和观点错误之处欢迎指正。
高级可持续性威胁APT
-
- 一、APT多多少少是有些炒作成分的
- 二、APT四大难点:分析、挖掘、检测、溯源
- 三、APT与EDR病毒的区别
- 四、APT的工作模式
- 五、安全人员管理建议
随着《数据安全法》、《关键信息基础设施安全保护条例》出台,数据保护,尤其是敏感数据各环节合规使用,成为监管部门关注重点,APT也渐渐成为人们关注的热点。APT攻击,即高级可持续威胁攻击,也称为定向威胁攻击,指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和 会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。
五、安全人员管理建议
安全它就是安全,安全是企业高速发展过程中必须经过的途径,它是软件行业发展到一定阶段的必然过程。安全的本质就是梳理企业内部资产和业务特征,查漏补缺之后,在此基础上才能建设企业自己的安全防御体系。APT本质是需要很多的文件 络资源和安全技术积累。当前安全面临的尴尬情况是安全核心技术不能产生过高的商业价值,但是过于追求价值产出肯定是会降低对于技术研究的精力的。在我看来,安全从业人员是一群善良正义坚持原则的一类人,营造积极温馨的工作氛围其实更加适用于对于安全人员管理方法。他们本身是具有良好价值观的,其本身能够抵制住黑产高收益的诱惑,产生的 会价值也远远大于实际工作的价值,所以过于强调工作中的OKR其实是非常不恰当的。
当然,凭良心讲,预警能力才是安全能力的最大价值,而不是去溯源已经攻击成功的事件。灾难发生后往往会出现很多感人的故事和英雄,但是我们必须明白我们的重点应该是在避免灾难的防御工作上,而不是看着我们感人的故事和英雄就认为我们一直做的很好,所以搞安全在预警技术的发展上必须坚持高精尖发展。
在未来, 络安全的军工属性势必会继续得到增强:
第一,力量不够集中。最突出的表现就是威胁情 没有集中化。企业在竞争关系中会产生独有的情 ,但这些情 可以被G有力量统一集中,方便及时发现重要攻击事件。
第二,挖掘能力深入化。美国Fireeye之所以能对Solarwinds攻击事件具有自主的发展能力,是因为企业本身安全的挖掘和检查体系比较完善。对于每种攻击TTPs是否有人去做专门的狩猎,比如毒云藤明明很喜欢伪造官方 站进行钓鱼,那么有没有团队对重要大学和单位机构 站的ioc_hash进行统计监测如Bookit针对最早启动过程的感染,在商业化公司中有没有人能沉得住气去分析清楚并做出狩猎分析和解决方案有多少安全公司能为安全研究员提供额外的实体机和硬件去做这些研究,这些需要花费很多精力但可能没有结果的挖掘方式,纯粹的商业公司是很难能做下去的。
第三,操作系统底层的研究和国产化这个就不多说了,芯片硬伤, 大家都懂。
最后总结一句话:APT肯定是以挖掘潜伏攻击为安全能力核心的,而不是对一个几年都没换代码、连壳都不加的恶意软件痴迷追求的。什么是炒,什么是真拳头,这两个要搞清楚。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!