【白皮书】企业反击战第4部分-构建威胁情报_-趋势科技.pdf

Context Paper 中的 Trend Labs 安全 趋势科技 企业反击战（第四部分） 构建智能威胁网 趋势科技 | 企业反击战（第四部分） 危害标志 防止公司的机密信息或核心信息泄露已成为各大企业和组织面临的最 大挑战之一。1 由于攻击者始终将信息作为目标，因此针对性攻击等威 胁将继续影响这些企业和组织。2 根据攻击者的不同，针对性攻击活动的最终目标也不同。不过，实施 这些活动的目的通常是窃取目标网络中的数据。此类威胁通常长期暗 藏在网络中，在各个系统和服务器之间横向移动，对有价值的信息虎 视眈眈。但这并不意味着，攻击者不会在数据窃取时限到达前就发起 攻击。 尽管难以检测到网络中的针对性攻击，但仍可找到一些蛛丝马迹，从 中可以发现正在实施的攻击或在未来可能被攻击的目标。因此，企业 构建自己的威胁情报极其重要，这些威胁情报可纳入企业的安全基础 架构，从而规避针对性攻击所带来的风险。 “一旦攻击者侵入 在识别某些危害标志方面，与订阅源、报告等 IT 源一样，有关已知针 某个网络，相关的 对性攻击的公开可用报告也很有用。以下是过去用于识别网络内是否 组织就得争分夺秒 存在威胁的一些标记示例。 进行反击。攻击者 标志位置 危害标志 在网络中停留的时 间越久，获得的立 图 1 中第 1 和第 2 阶段中的“计算机” • 注册表更改 • 文件更改（例如文件的名称、完整路 足点就越多，窃取 径、哈希、大小等） 到的信息就越 • 事件日志条目 多。” • 服务更改（即添加和修改） • 互斥体 — Jim Gogolinski 网络通信，包括命令和控制 (CC) 、 对于已公开报告的已知危害标志，其网 趋势科技高级威胁 横向移动和数据隐蔽泄露活动，如 络出入流量指标包括： 研究员 图 1 中的阶段 3‒6 中所示 • 与水坑式攻击相关的 URL • 一致和特定的 URL 路径 1 趋势科技（中国）有限公司(2013). “保护公司数据的安全。” （“Keeping Corporate Data Safe.”）上次访问时 间为 2014 年 2 月 17 日，/apac/enterprise/ security-suite-solutions/esdp- suite/info- graphic/index.html 。 2 趋势科技（中国）有限公司/Trend Micro Incorporated 。(2013). “模糊界限：2014 年及未来趋势科技安全预 测。”上次访问时间为 2014 年 3 月 4 日，/us/ security-predic-