在分析大规模的入侵时,通常是一个情报分析团队,或者是几个分析师互相分工配合来完成的。在开始执行任务前,我们需要进行一些统一的约定,否则可能会由于个人习惯或认知差异造成整个分析工作的混乱。这个约定从普遍情况来看,需要具备以下内容:
统一团队内分析师对同一个攻击组织的命名非常重要,否则每个人各叫各的很容易引发误解,或者在分析工作交接时,接手的分析师很难快速理解一些数据或资料。甚至是本团队与外部情报团队共享情报时,名字不统一也会让人容易把相同的攻击组织当成不同的攻击组织。
Do(应该做的):
1. 自己定义名字:自己为攻击组织命名,而不是完全依赖于其他人的命名。
2. 借用名字:在适当的情况下,借鉴其他人的命名,但要确保它们对你的上下文有意义。
3. 使用幽默:在命名时可以加入一些幽默元素,这有助于使名字更易于记忆。
4. 根据工具/TTP命名:将活动命名为与特定工具或技术、战术和程序(TTP)相关的名字。
5. 使用枚举名字:为活动命名时,使用编号系统,如APT-1、APT-2等,以便清晰地区分不同的活动。
Don't(不应该做的):
1. 不要仅依赖于工具或技术来命名:因为工具可能会被不同的攻击者共享,仅根据工具命名可能会引起混淆。
2. 不要使用过于模糊的名字:避免使用如"APT-1"这样过于通用的名字,因为它可能使得分析师难以区分不同的活动。
3. 不要使用过于具体的命名:避免使用过于具体或复杂的命名,这可能会限制对活动的理解或导致误解。
为了统一内外部的攻击组织命名,这里提供两个攻击组织在各个情报团队命名的对应列表资源:
https://attack.mitre.org/groups/
使用分析竞争假设(ACH):在缺乏证据、入侵事件与多个类似定义的聚类匹配,或分析员之间存在分歧时,建议使用ACH(Analysis of Competing Hypotheses)来帮助解决归因的不确定性。
结构化数据的重要性:在进行聚类分析时,使用结构化数据(如入侵链和钻石模型)很重要,这有助于更准确地识别模式并建立事件之间的联系。
使用规则2(Rule of 2):作为一种简化的方法,通过寻找两个顶点之间的重叠来帮助识别聚类,例如,如果两个入侵事件在受害者或攻击者技术上有共同点,它们可能属于同一攻击组织。
IoC的识别:强调了识别IoC或行为战术技术程序(TTPs)的重要性,这些可以作为归因的依据。
信誉度评估:在将入侵事件归入特定活动或组织时,根据在每个聚类中支持的证据来评估信誉度。
基础步骤:遵循ACH的步骤,根据入侵定义对证据进行分类,如使用入侵链和钻石模型,并根据每个聚类中证据的支持程度来通知评估的信心。
证据分类:使用入侵链和钻石模型对证据进行分类,以帮助将入侵事件组织成有意义的聚类。
枚举入侵-活动假设:使用从入侵集获取的关键指标或TTPs作为证据,将它们定位在活动假设上。
外部入侵报告的使用:如何利用来自可信第三方的外部报告来补充对活动的理解,同时避免因报告中的问题而导致分析误导。
