9月24日,ThreatConnect和DefenseGroup Inc联合发布了一份曝光Naikon APT组织的报告。项目代号CameraShy。还称跟我朝云南的78020部队有关。并定位到一名ge姓同学有J方背景。报告足足20M,图文并茂,连人家车牌号码和各种生活照都人肉出来了。此处不多评论了。有兴趣就自行前往http://www.threatconnect.com/camerashy/围观报告。详细程度不亚于当年的上海APT1,目测要火。
不过据说该公司早就已经发现了这个APT组织。只是这个APT活动最近已经影响到其业务了所以现在才报出来。其实说白了是不是就是想证明它的TIP平台有多厉害?ThreatConnect其实成立于2011年,从一开始就定位于是一家情报公司,主打产品是提供威胁情报平台(cyber threat intelligenceplatform),这套平台提供三个主要功能,整合情报、分析情报和支撑行动(Aggregate、Analyze和Act)
其著名的钻石模型,是把所有的事件按照四个维度进行分解,包括攻击者Adversary, 能力Capability,基础设施Infrastructure和受害者Victim,看下图会比较形象一点:
再结合Kill Chain的各个阶段里涉及的事件分解成钻石模型进行关联。
比如这次的报告中分解到的钻石模型数据:
有一份52页的电子书,详细介绍过这套TIP平台。书里有5个章节,在第三章“THREAT INTELLIGENCE PLATFORMS: THE NEW ESSENTIAL ENTERPRISE SOFTWARE”就详细说明了三个主要功能(AGGREGATION,ANALYSIS 和ACTION)的做的事情。其他的第一章讲了情报的重要性,第二章讲讲情报包括哪些内容(比如内部情报——防火墙日志、event日志、SIME日志等等;外部情报——开源的、信誉库、intelligence feed等等),有什么特性,第四章讲了情报的共享,第五章是个总结,列出了一个好的TIP应该有哪些要素:
-
是否有能力从多个源整合威胁情报,从而为告警和拦截提供协助
-
是否有能力提供“特征”库的管理
-
是否能够对调查和响应的工作提供支撑
-
是否支持对情报的再加工和研究
然而这家公司已经不是第一次向我朝泼黑水了。还打算把产品卖给中国地区么?
附:TIP平台电子书和钻石模型 Diamond Mode的介绍材料:
http://pan.baidu.com/s/1kTyAqOZ 提取码:xyu9
如果你早就知道这家公司了,欢迎加入我们。回复“招聘”或点击原文链接。
欢迎关注zsfnotes的公众号
本文始发于微信公众号(张三丰的疯言疯语):报告PLA 78020的情报公司——Threatconnect
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论