报告PLA 78020的情报公司——Threatconnect

  • A+
所属分类:安全闲碎

924日,ThreatConnectDefenseGroup Inc联合发布了一份曝光Naikon APT组织的报告。项目代号CameraShy。还称跟我朝云南的78020部队有关。并定位到一名ge姓同学有J方背景。报告足足20M,图文并茂,连人家车牌号码和各种生活照都人肉出来了。此处不多评论了。有兴趣就自行前往http://www.threatconnect.com/camerashy/围观报告。详细程度不亚于当年的上海APT1,目测要火。

不过据说该公司早就已经发现了这个APT组织。只是这个APT活动最近已经影响到其业务了所以现在才报出来。其实说白了是不是就是想证明它的TIP平台有多厉害?ThreatConnect其实成立于2011年,从一开始就定位于是一家情报公司,主打产品是提供威胁情报平台(cyber threat intelligenceplatform),这套平台提供三个主要功能,整合情报、分析情报和支撑行动(AggregateAnalyzeAct

报告PLA 78020的情报公司——Threatconnect

其著名的钻石模型,是把所有的事件按照四个维度进行分解,包括攻击者Adversary, 能力Capability,基础设施Infrastructure和受害者Victim,看下图会比较形象一点:

报告PLA 78020的情报公司——Threatconnect

再结合Kill Chain的各个阶段里涉及的事件分解成钻石模型进行关联。

报告PLA 78020的情报公司——Threatconnect

比如这次的报告中分解到的钻石模型数据:

报告PLA 78020的情报公司——Threatconnect

有一份52页的电子书,详细介绍过这套TIP平台。书里有5个章节,在第三章“THREAT INTELLIGENCE PLATFORMS: THE NEW ESSENTIAL ENTERPRISE SOFTWARE”就详细说明了三个主要功能(AGGREGATIONANALYSIS ACTION)的做的事情。其他的第一章讲了情报的重要性,第二章讲讲情报包括哪些内容(比如内部情报——防火墙日志、event日志、SIME日志等等;外部情报——开源的、信誉库、intelligence feed等等),有什么特性,第四章讲了情报的共享,第五章是个总结,列出了一个好的TIP应该有哪些要素:

  • 是否有能力从多个源整合威胁情报,从而为告警和拦截提供协助

  • 是否有能力提供“特征”库的管理

  • 是否能够对调查和响应的工作提供支撑

  • 是否支持对情报的再加工和研究

然而这家公司已经不是第一次向我朝泼黑水了。还打算把产品卖给中国地区么?


附:TIP平台电子书和钻石模型 Diamond Mode的介绍材料:

http://pan.baidu.com/s/1kTyAqOZ 提取码:xyu9



如果你早就知道这家公司了,欢迎加入我们。回复“招聘”或点击原文链接

欢迎关注zsfnotes的公众号

报告PLA 78020的情报公司——Threatconnect


本文始发于微信公众号(张三丰的疯言疯语):报告PLA 78020的情报公司——Threatconnect

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: