报告PLA 78020的情报公司——Threatconnect - APT防御产品

报告PLA 78020的情报公司——Threatconnect

924日,ThreatConnectDefenseGroup Inc联合发布了一份曝光Naikon APT组织的报告。项目代号CameraShy。还称跟我朝云南的78020部队有关。并定位到一名ge姓同学有J方背景。报告足足20M,图文并茂,连人家车牌号码和各种生活照都人肉出来了。此处不多评论了。有兴趣就自行前往http://www.threatconnect.com/camerashy/围观报告。详细程度不亚于当年的上海APT1,目测要火。

不过据说该公司早就已经发现了这个APT组织。只是这个APT活动最近已经影响到其业务了所以现在才报出来。其实说白了是不是就是想证明它的TIP平台有多厉害?ThreatConnect其实成立于2011年,从一开始就定位于是一家情报公司,主打产品是提供威胁情报平台(cyber threat intelligenceplatform),这套平台提供三个主要功能,整合情报、分析情报和支撑行动(AggregateAnalyzeAct

1.png

其著名的钻石模型,是把所有的事件按照四个维度进行分解,包括攻击者Adversary, 能力Capability,基础设施Infrastructure和受害者Victim,看下图会比较形象一点:

2.png

再结合Kill Chain的各个阶段里涉及的事件分解成钻石模型进行关联。

3.png

比如这次的报告中分解到的钻石模型数据:

4.png

有一份52页的电子书,详细介绍过这套TIP平台。书里有5个章节,在第三章“THREAT INTELLIGENCE PLATFORMS: THE NEW ESSENTIAL ENTERPRISE SOFTWARE”就详细说明了三个主要功能(AGGREGATIONANALYSIS ACTION)的做的事情。其他的第一章讲了情报的重要性,第二章讲讲情报包括哪些内容(比如内部情报——防火墙日志、event日志、SIME日志等等;外部情报——开源的、信誉库、intelligence feed等等),有什么特性,第四章讲了情报的共享,第五章是个总结,列出了一个好的TIP应该有哪些要素:

  • 是否有能力从多个源整合威胁情报,从而为告警和拦截提供协助

  • 是否有能力提供“特征”库的管理

  • 是否能够对调查和响应的工作提供支撑

  • 是否支持对情报的再加工和研究

然而这家公司已经不是第一次向我朝泼黑水了。还打算把产品卖给中国地区么?


附:TIP平台电子书和钻石模型 Diamond Mode的介绍材料:

http://pan.baidu.com/s/1kTyAqOZ 提取码:xyu9


转载请注明出处 APT防御产品 » 报告PLA 78020的情报公司——Threatconnect

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

网友评论(1)

  1. 沙发#

    “追,追到乱刀砍死”。假成山已经失去了全部的耐性,犹如魔兽一样的嘶吼,嗓子都带着三分哑性。

    澳门威尼斯人 2018-04-08 18:41 回复