情資收集
前言
內文
在任何領域,資訊是很重要的一部分。在股市中,有資訊就可以賺大錢;在談判中,有資訊更能夠掌握對方的底線;在資安中,有資訊可以更好防禦外來攻擊。
掌握資訊,就可以做提前更新漏洞。
掌握資訊,就可以提前部屬防禦設備。
掌握資訊。就可以做到安全無患。
在防禦方面,有三點需要重點去關注
- Motivations – 動機
- Intentions – 意圖
- Methods – 方法
取得資料後,將之進行整理,經過三大處理,提升各方面的保護力
- Collected – 收集
- Analyzed – 分析
- Disseminated – 傳播
Life Cycle
整個資料收集的過程很簡單,主要就是重複四個步驟
- Planning & Direction
- Collection
- Analysis & Production
- Dissemination & Intedration
Planning & Direction
1. 確認計畫
- 指定整體計畫方向,減少浪費時間
- 找出最重要的威脅
- 排列威脅的優先程度
- 誰是攻擊者,誰會在這次攻擊受益
2. 確認攻擊練型
- Cyber Crime
- 賺錢是主要目的,如偷取信用卡號
- 個人目的為導向
- 範圍很大,也不會有針對性
- Cyber Espionage
- 網路間諜
- 針對政府、政府、私人企業(高科技產業、基礎建設)
- 通常不會牽扯到金錢
- 背後可能是政府
- 精確、精密的攻擊
- Hacktivist
- 駭客主義
- 以破壞為導向
- 展示技術
3. 確認目標
- Region – 區域
- 國家之間的世仇
- 中國 & 台灣
- 北韓 & 南韓
- 國家之間的世仇
- Industry – 業界
- 半導體、重工業
- 偷取技術
- 航空企業、導彈、軍火商
Collection
Data(數據) →
“>
Information(資訊) →
“>
Intelligence(情報)
收集的來源主要為兩種
- External Source
- Internal Source
External Source
- Community(社群)
- Social Media (社交媒體)
- Twitter https://twitter.com/hashtag/APT
- #APT,有時候會跟其他單字撞到
- APT: Advanced Persistent Threat (進階持續性威脅)
- Timele9527, blackorbird, Rmy_Reserve, _re_fox
- Twitter https://twitter.com/hashtag/APT
- Threat Data Feed
- ATT&CK https://attack.mitre.org/groups/
- 了解攻擊族群跟手法
- Malpedia https://malpedia.caad.fkie.fraunhofer.de/
- 類似 wikipedia
- 攻擊族群的公開報告
- ANY.RUN https://app.any.run/
- 線上免費的 sandbox
- 可以跑一些惡意程式
- 免費帳號上傳上去的惡意程式都是看得到的,在 Twitter 上的 Malware 幾乎都可以在這邊跑
- Awesome https://github.com/hslatman/awesome-threat-intelligence
- 大雜燴 (很多相關資料都在這邊)
- 偏複雜
- Collection https://start.me/p/rxRbpo/ti
- 學習資源統整
- 比 awesome 完整一點
- ATT&CK https://attack.mitre.org/groups/
- Open-source Intelligence
- e.g. 公開的報告
- 情資分析公司的平台 (看年度的 APT 報告)
- TeamT5 https://teamt5.org/en/blog/
- Kaspersky https://securelist.com/
- Fireeye https://www.fireeye.com/blog/threat-research.html
- Unit42 https://unit42.paloaltonetworks.com/
- ESTsecurity https://blog.alyac.co.kr/
- Deep Web
- Dark Web
Internal Source
- SIEM / Sensors
- 像是比較基礎的防毒軟體
- Incident Response
- 事件調查
- Network Visibility
- Firewall
- Endpoint Visibility
- EDR產品(端點偵測及回應)
- Malware Analysis
- Research Lab
Analysis & Production
透過一些技術進行分析…
Dissemination & Integration
- 對手的組織
- 之前行動的歷史
- 動機和意圖
- 中國 APT 打台灣重工業是不是跟政治目的有間接關係
- 目標
- 地區、企業和受害者
- 攻擊的範圍,影響的範圍
- 拆解攻擊方式
- 識別攻擊事件
- IOC (Indicator of Compromise)
- 惡意程式的雜湊
- IP、Domain
- 緩解方式和保護方法
- 未來可能的攻擊
相關筆記
更加詳細的內容請閱讀學習筆記