【注】文本轉(zhuǎn)載自臺(tái)灣的資安人。情報(bào)分析（Intelligence Analysis）是指對(duì)有用的信息進(jìn)行分解、合成，通過邏輯推理得出有價(jià)值的結(jié)論。借助信息化的手段，當(dāng)前的情報(bào)分析手段和工具被美國(guó)軍方歸納出了14種，包括文中提及的“意圖分析”，“文化分析”、“群聚分析”，等等。美國(guó)軍方已經(jīng)建立了這樣的情報(bào)分析系統(tǒng)，但對(duì)于應(yīng)用在APT識(shí)別上，卻是一個(gè)比較新穎的想法，我很贊同。

近來，國(guó)際間出現(xiàn)不少APT(Advanced Persistent Threat)***事件，也因此造成這個(gè)話題的熱門。不過，八月初將于第19屆美國(guó)駭客年會(huì)Defcon發(fā)表「亞洲區(qū)APT***解密」的Xecure Lab團(tuán)隊(duì)說，APT***，其實(shí)常被誤解。

例如過去就曾有某許姓立法委員召開記者會(huì)，收到行政院秘書室的病毒信，要求要徹查資安，而這起事件被認(rèn)為是一起「病毒信」事件，Birdman說，其實(shí)這正APT***當(dāng)中的一環(huán)，秘書的電腦往往要處理最多機(jī)敏的事情，所以往往是公級(jí)的目標(biāo)。所以最錯(cuò)誤的處理，就是將之當(dāng)成單一的病毒事件，掃毒結(jié)束后便以為事件結(jié)束。

APT的***武器都是相當(dāng)獨(dú)特的，采取0 day漏洞再搭配客制化***，由于是針對(duì)高價(jià)值的政治、經(jīng)濟(jì)、高科技、軍事目標(biāo)，因此往往也都是運(yùn)用國(guó)家級(jí)的資源來制作***武器。也因此，任何的***行動(dòng)都有其背后的目的，例如發(fā)行簽章的公司被攻破，真正目標(biāo)是要運(yùn)用簽章來進(jìn)行下一步的布署，目的是對(duì)某個(gè)防守嚴(yán)密的政府機(jī)關(guān)進(jìn)行社交工程，對(duì)方一看到經(jīng)過簽章的信件，便信任的打開，這反而是最危險(xiǎn)的安全認(rèn)證。

Birdman說，他們透過國(guó)外搜集APT、惡意程式的專家Mila的樣本(注)來做研究，取其242個(gè)APT樣本，對(duì)樣本進(jìn)行靜態(tài)分析，觀察出八大族群，而這些族群雖然都運(yùn)用八到九種不同的漏洞，在使用惡意程式的方式上倒有固定類型。

此外，臺(tái)灣、美國(guó)與香港分別是被APT***的前三名，顯示可能由于這些地方相對(duì)有著良好的網(wǎng)路環(huán)境以及許多的駭客***中繼站(C&C, Control & Command Server)，成為遭受APT***最多的地方。他們也透過這個(gè)研究，找到了APT***武器販?zhǔn)凵?#xff0c;并與之對(duì)話，透過駭客的觀點(diǎn)來看資安，可以知道的是， 目前紅極一時(shí)的Apple系統(tǒng)將會(huì)是駭客未來的***發(fā)展目標(biāo)。

而這個(gè)研究方向，主要是希望可以透過分析APT樣本的行動(dòng)與武器特征，找出背后的駭客集團(tuán)特征和習(xí)慣，Birdman認(rèn)為最重要的關(guān)鍵在于，現(xiàn)在資安的研究還停留在單一樣本的分析，做單一惡意程式行為的分析，視野不能提升就難以觀察到駭客集團(tuán)的趨勢(shì)與計(jì)劃。

他強(qiáng)調(diào)，未來的資安策略應(yīng)該是「情資導(dǎo)向」的防護(hù)思維。當(dāng)你了解到這個(gè)集團(tuán)的領(lǐng)導(dǎo)者是誰？有可能采用什么惡意程式工具？找誰來當(dāng)打手？就越可能運(yùn)用一些自動(dòng)化的情資分析系統(tǒng)，推演分析出對(duì)方的戰(zhàn)略，而不是將對(duì)方的***戰(zhàn)略中的一小步，當(dāng)成普通的病毒事件來處理，掃掃毒就算危機(jī)解除。

網(wǎng)路黑社會(huì)都軍事化了，我們還在拿棍棒練身體，豈不是自以為無敵的義和團(tuán)？這些是人的問題，得靠人解決。

【參考】APT和實(shí)時(shí)威脅管理必讀系列

總結(jié)

以上是生活随笔為你收集整理的从情报分析的高度来看APT***的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。