写在最前面
学习本案例,只为说明APT攻击组织归因和命名APT攻击组织是需要有明确定义的,并不能仅因为某些特征就将毫无关联的入侵归因到一个攻击组织上。
错误的攻击归因
这段内容解释了一个常见误解,即某些网络安全团队使用的威胁名称(如APT10)实际上是特定定义,而不是通用名称。微软分析师Ben Koehl和PWC分析师Kris McConkey指出,Rapid7和Recorded Future所发现的实际是APT31,而不是APT10。尽管存在许多技术重叠,但他们还是通过一些非公开数据和基础设施维护方式来确认这是不同的团体。这些信息是Recorded Future无法得知的。
这个问题并不仅仅是 Recorded Future 和 Rapid7 的问题。实际上,这种情况经常发生。每个团队都会创建自己独特的定义,而这些定义通常是内部使用的,并不公开。即使在恶意软件和受害者重叠的情况下,PWC 和微软分析师依然认为 Recorded Future 和 Rapid7 所描述的不是APT10,而是基于更广泛数据集的APT31。他们关注的不仅仅是恶意软件的使用方式,还有更多的细节,例如行为指标和人类操作痕迹 。
每个人都会犯错
事实是,这种情况比人们意识到的要常见得多。但是通常,当公司发布报告时,它们会与原作者协作,由他们检查工作。例如,在PWC发布关于Cloud Hopper的报告之前,可能与微软或FireEye进行了协调,后者能够检查他们的部分工作并确认他们追踪的是APT10。然而,几乎不可能所有纳入Cloud Hopper的入侵都符合APT10的定义。实际上,这些分析中夹杂了很多抽象化的部分。
在日常公司中问题更加严重。当你的CTI团队追踪入侵并尝试将其归因于其他团队和供应商已知的群体时,你很可能会犯与Recorded Future和Rapid7相同的错误,因为你对其他团队所使用的群体定义缺乏深入了解。然而,由于你没有公开发布这些案例,你可能不会因此受到批评。
最好的做法始终是使用自己的组名,特别是在你拥有独特的收集数据和入侵案例时(不要仅仅为了重命名而重命名群体)。完全可以说某些入侵与其他已知群体有“关联”或“重叠”,你应该明确指出这一点。但是,你所追踪的内容,包括使用的收集方法、满足的需求、分析工具以及你的偏见等,永远不会与其他人的定义完全一致。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...