报告PLA 78020的情报公司——Threatconnect

admin 2021年11月13日11:28:33安全闲碎评论77 views1149字阅读3分49秒阅读模式

924日,ThreatConnectDefenseGroup Inc联合发布了一份曝光Naikon APT组织的报告。项目代号CameraShy。还称跟我朝云南的78020部队有关。并定位到一名ge姓同学有J方背景。报告足足20M,图文并茂,连人家车牌号码和各种生活照都人肉出来了。此处不多评论了。有兴趣就自行前往http://www.threatconnect.com/camerashy/围观报告。详细程度不亚于当年的上海APT1,目测要火。

不过据说该公司早就已经发现了这个APT组织。只是这个APT活动最近已经影响到其业务了所以现在才报出来。其实说白了是不是就是想证明它的TIP平台有多厉害?ThreatConnect其实成立于2011年,从一开始就定位于是一家情报公司,主打产品是提供威胁情报平台(cyber threat intelligenceplatform),这套平台提供三个主要功能,整合情报、分析情报和支撑行动(AggregateAnalyzeAct

报告PLA 78020的情报公司——Threatconnect

其著名的钻石模型,是把所有的事件按照四个维度进行分解,包括攻击者Adversary, 能力Capability,基础设施Infrastructure和受害者Victim,看下图会比较形象一点:

报告PLA 78020的情报公司——Threatconnect

再结合Kill Chain的各个阶段里涉及的事件分解成钻石模型进行关联。

报告PLA 78020的情报公司——Threatconnect

比如这次的报告中分解到的钻石模型数据:

报告PLA 78020的情报公司——Threatconnect

有一份52页的电子书,详细介绍过这套TIP平台。书里有5个章节,在第三章“THREAT INTELLIGENCE PLATFORMS: THE NEW ESSENTIAL ENTERPRISE SOFTWARE”就详细说明了三个主要功能(AGGREGATIONANALYSIS ACTION)的做的事情。其他的第一章讲了情报的重要性,第二章讲讲情报包括哪些内容(比如内部情报——防火墙日志、event日志、SIME日志等等;外部情报——开源的、信誉库、intelligence feed等等),有什么特性,第四章讲了情报的共享,第五章是个总结,列出了一个好的TIP应该有哪些要素:

  • 是否有能力从多个源整合威胁情报,从而为告警和拦截提供协助

  • 是否有能力提供“特征”库的管理

  • 是否能够对调查和响应的工作提供支撑

  • 是否支持对情报的再加工和研究

然而这家公司已经不是第一次向我朝泼黑水了。还打算把产品卖给中国地区么?


附:TIP平台电子书和钻石模型 Diamond Mode的介绍材料:

http://pan.baidu.com/s/1kTyAqOZ 提取码:xyu9



如果你早就知道这家公司了,欢迎加入我们。回复“招聘”或点击原文链接

欢迎关注zsfnotes的公众号

报告PLA 78020的情报公司——Threatconnect


本文始发于微信公众号(张三丰的疯言疯语):报告PLA 78020的情报公司——Threatconnect

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月13日11:28:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  报告PLA 78020的情报公司——Threatconnect http://cn-sec.com/archives/479030.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: