La première 360 lecturer femme Sy Scan Revealed: Comment débusquer caché pendant des années d'attaques terribles de cyber-espionnage --apt

2016-11-24 21:51:00

Le réseau le plus horrible du monde « espionnage » Je crains d'appartenir à « attaque APT », qui se cache depuis des années, des décennies même, voler tranquillement des données critiques, il ne peut pas être pour l'argent, à but non lucratif, mais juste pour vous ruiner.

Et ça sonne vraiment pas cher, et difficile une attaque de hacker.

Zhao Yuting, a été la première femme chargée de cours sont montés à bord du podium de la conférence Syscan 360 sécurité. Elle est de 360 chassant une équipe japonaise, face aux attaques APT, le manque d'équipe soit comme Kuafuzhuiri comme toujours persévérer dans la poursuite.

A propos de l'attaque APT, Zhao a révélé quelques secrets Yuting à ce sujet.

Les attaques récentes APT avec une exposition importante vient en Novembre de fleur de vigne esprit l'action APT.

société américaine de sécurité réseau Forcepoint a publié un rapport qui a révélé important fonctionnaire du gouvernement pakistanais a récemment été d'espionnage cybernétique d'origine inconnue. Le rapport décrit l'attaquant utilisé un courrier harpon et l'utilisation des vulnérabilités du système, etc., coutume AndroRAT implanté dans l'ordinateur de la victime, l'intention de voler des informations sensibles et des données. les chercheurs croient Forcepoint l'organisation associée à AMER, mais n'a pas pu arrêter l'attaque lancée cet incident. AMER a commencé en attaque Novembre 2013, et au fil des années n'a pas été détecté, le contexte actuel de l'attaquant est pas clair. informations relatives à l'APP, y compris le Cachemire Nouvelles fournit des nouvelles de la région contestée entre l'Inde et le Pakistan et ainsi de suite.

Zhao Yuting et membres de l'équipe ont trouvé Il semble de la vigne et nous n'avons pas l'esprit à dépenser un sou d'action fait APT, tapi tranquillement dans la région de la Chine, les unités affectées principalement liées au gouvernement, unités d'alimentation et liés à l'industrie, la chose effrayante est que l'organisation et reste active.

L'année dernière, et la fleur de vigne esprit l'action APT comme « connu dans le monde », ainsi que ceux ci-dessous:

Attrapez le « espion » la première étape

Heureusement, à travers les caractéristiques d'action d'analyse d'attaque APT, on sait que certains de leur comportement, ce qui est la première étape pour débusquer ce « espion ». Zhao Yuting dit,

les attaques APT font généralement pas l'arrêt, dont certains peuvent être divulgués en raison des fournisseurs de sécurité, entraînant une défaillance des attaques passées et choisissez temporairement disparu, mais la cible aussi longtemps que il y a encore de la valeur à être attaquée, cette attaque encore continuer. En outre, il y a des cas, l'attaquant quand il a lancé une attaque, a atteint la cible prévue, l'organisation d'attaque peut choisir temporairement en sommeil, mais son but est de recharger vos batteries pour la prochaine attaque.

En second lieu, APT si l'organisation aura une cible d'attaquer, la sécurité ne dépend pas de la force du degré de protection du système cible lui-même, mais dépend principalement de la cible est précieuse. Même si la cible elle-même est très fort système de défense, tant qu'il y est la valeur de cet objectif, l'attaque APT quel que soit le coût qu'elle organiserait une attaque.

Vraiment refuse d'abandonner jusqu'à ce que tout espoir est perdu!

De plus, les attaquants APT auront un grand nombre de ressources 0 jours (zéro jour exploit), vous pouvez lancer des attaques ciblées. Il a un haut degré de dissimulation, il peut durer des années, voire des décennies sans être détecté. organisateurs d'attaque pour attaquer APT pas obtenir directement des avantages pour l'application, plus enclins à voler des données sensibles et la destruction de l'infrastructure.

Zhao analyse Yuting, ces dernières années, a également montré que les attaques APT de passer progressivement l'attaque multiplateforme. Par exemple, l'APT a pris des mesures sur l'esprit de la vigne tandis que les fenêtres et les plateformes Android ont été attaqués.

Nous croyons que, dans l'avenir attaque APT, l'attaquant sera réduit pour le PC traditionnel, les appareils mobiles, les équipements de réseau et même attaquer l'équipement de contrôle industriel continuera d'augmenter.

besoins de renseignement des menaces - découvert attaché « ligne »

Ceci est un maillon clé dans la chaîne d'attaques APT. Le but de l'attaquant de l'enquête, des outils d'attaque faits, outils d'attaque en passant exploitent les cibles des vulnérabilités ou faiblesses à la pénétration, à travers le conseil d'administration pour gagner l'outil est exécuté, ce dernier outil de maintenance à distance, pour atteindre enfin l'objectif des objectifs de contrôle à long terme . Compte tenu de ce niveau élevé maintenant attaque de plus en plus répandue, l'intelligence de la menace existe dans tous les aspects de l'attaque.

Le soi-disant renseignements sur les menaces, qui est, qu'apt probablement telltale dans ces domaines, le personnel de sécurité si elles peuvent trouver, vous pouvez attraper un « fil » le plus critique, suivre autour du coin.

Dans l'histoire de la lutte en attaque et de défense, le personnel de sécurité avaient pensé que la vulnérabilité est la seule façon de menacer la sécurité de l'entreprise, en fait, la vulnérabilité est juste un d'entre eux. Phishing e-mail, les employés de réseaux sociaux utilisent les fuites d'informations personnelles, mot de passe afin que les pirates ont frappé la bibliothèque générées peuvent être tapi attaques APT sont dans la clé.

Bien que l'attaque APT « calme et grand mal », dans l'infraction du concours et de la défense, le personnel de sécurité étape par étape pour également recueillir des informations d'exposition attaquant.

  • Il peut être observé le comportement, une intelligence menace parmi les plus des informations de base. Par exemple, les anomalies de réseau de données utilisateur, les systèmes de réseau ont été détruits et ainsi de suite, suivi par la menace de l'indice caractéristique, ces caractéristiques peuvent être utilisées pour déterminer si l'utilisateur menaces effectivement subi, y compris la menace de conditions de traitement, la menace de l'impact possible, la menace des méthodes de temps efficaces et de test.

  • Description de l'événement, y compris le calendrier des événements, des lieux, des journaux et d'autres événements. Ensuite, l'approche technique, des moyens, des techniques, traite trois dimensions des incidents de sécurité pour une description plus complète, y compris le comportement général des attaques malveillantes, des outils, et l'ensemble de l'outil utilisé par des attaquants malveillants attaquent la chaîne, l'impact sur la vulnérabilité causée et ainsi de suite. Il y a des objectifs et des victimes de l'information comprend généralement des informations de base sur le système étant attaqué, l'attaque APT, attaque souvent customize différentes politiques pour les systèmes différents, et peuvent être exploitées dans ces informations de vulnérabilité d'attaque.

  • Enfin, l'attaquant de l'information, pour ce niveau, le personnel de sécurité examinera les motifs de préoccupations attaquants - pourquoi il a lancé l'attaque? Qui à la fin est l'initiateur de l'attaque?

    • Zhao Yuting dit,

    Nous associons leur expérience de recherche de renseignements sur les menaces ont une interprétation raffinée - renseignements sur les menaces de renseignement repose sur un ensemble de description associée de la menace de la preuve, En règle générale, y compris les menaces liées à l'environnement, la façon dont le mécanisme utilisé, et d'autres indicateurs d'impact. Plus raffiné, il se réfère au particulier Organiser des attaques, domaine malveillants. Voici un nom de domaine malveillant est généralement associé à la commande à distance entre le CIO, rissolées et URL des fichiers malveillants et des indicateurs de menace Les changements dans les méthodes d'attaque au moment de la latitude. Ceux-ci sont regroupées formeront l'intelligence avancée de menace. De plus, nous nous concentrons sur l'intelligence, En outre, il comprend les menaces traditionnelles types d'expansion, y compris le contrôle à distance des chevaux de Troie, les logiciels espions, les réseaux de zombies, porte arrière Web.

    Forger arme d'arrêt - Apprentissage

    Selon les renseignements de menace donnée Zhao Yuting dans les modèles d'apprentissage de la machine, l'apprentissage machine trois éléments de base sont les tâches, l'expérience et la performance. Les tâches en utilisant la machine à apprendre à faire face à l'intelligence de la menace, le choix de l'expérience E affecteront directement la sortie finale de l'effet du processus, de sorte que lorsque le besoin en option l'expérience E pour examiner les points suivants:

    Tout d'abord, sélectionnez l'expérience se fournir directement ou indirectement la rétroaction au système de prise de décision;

    En second lieu, la décision d'apprentissage de la machine à l'autonomie, se réfère principalement à l'apprentissage de la machine par l'évaluation de leur propre estimation, plan pour prendre une décision finale, essayez de ne pas soumis à un contrôle manuel;

    Troisièmement, si l'échantillon de formation au plus près des exemples concrets de la distribution, seules les données échantillons choisis plus près de la vérité, le processus de performance sera très élevé, c'est-à-dire la performance de P mesurée par cette similitude ;

    La raison d'avoir un tel ensemble look processus très complexe, est d'utiliser la machine à apprendre à faire face à l'intelligence des menaces pour détecter et identifier les attaques malveillantes charge APT et d'améliorer la menace perçue d'attaque l'efficacité du système APT et de précision, de sorte que la recherche de sécurité le personnel peut obtenir rapidement les attaques APT découverts et la traçabilité.

    Enseigné vous « Haidilaozhen »

    Ainsi, à la fin il est de savoir comment aider l'intelligence apprentissage automatique de dépistage des menaces, gagner une aiguille utile de la vaste mer de données?

    Nous devons présenter l'arrière-plan.

    Machine Learning divisé en deux catégories: l'apprentissage supervisé et apprentissage non supervisé. De nombreux problèmes d'apprentissage de la machine sont attribuables à résoudre la catégorie de problème, qui est, compte tenu de certaines données, chaque donnée afin de déterminer ce qui appartient à la classe, ou ces données peuvent être classées et ce que les autres données en tant que classe, si l'on en les données d'entrée directement à modeler, données par les propriétés intrinsèques de la machine et le contact classification automatique, qui appartient à l'apprentissage non supervisé.

    Si vous commencez à connaître la catégorie des données elles-mêmes, et à laquelle une partie des données marquées d'une étiquette, par la bonne catégorie de ces données ont été résumées déjà marqué, puis entrer dans la catégorie de fonction de mappage de données, la fonction de mappage pour le reste la classification des données, qui appartient à l'apprentissage supervisé.

    Zhao Yuting a souligné - l'apprentissage de la machine d'apprentissage non supervisé est une tendance du développement futur, mais basée sur le niveau actuel de la technologie, l'équipe et elle était plus enclin à employer apprentissage supervisé pour faire face à l'intelligence de la menace, après tout point de vue technique est plus mature.

    Encadrement d'apprentissage en utilisant le mode opératoire général: La première consiste à préparer des données d'apprentissage, l'extraction d'un vecteur de caractéristique à partir des données de formation requis, ainsi que l'algorithme d'apprentissage en vecteurs caractéristiques et marque correspondant, formé par un modèle prédictif, puis le même méthode de fonction de sélection, le rôle des nouvelles données de test, un vecteur caractéristique obtenu pour les tests. Enfin, l'utilisation de modèles prédictifs pour prédire ces derniers avec des vecteurs de caractéristiques, et le résultat final.

    En termes simples, le processus est l'extraction de caractéristiques, la sélection, la formation et la validation. Dans la section d'extraction de caractéristiques et de criblage, d'abord préparer les données de formation qui peuvent être recueillies à partir des données exactes et précises, vous pouvez essayer d'apporter des données d'entrée pour le traitement du processus de renseignement sur les menaces. Dans ces grandes quantités de données à extraire les caractéristiques requises, à savoir l'extraction de caractéristiques, les données brutes dans un vecteur de caractéristique par un, vous obtenez le jeu de vecteur initial. Vous pouvez ensuite définir les caractéristiques initiales dans laquelle une fois le dépistage avec les caractéristiques souhaitées de l'efficacité, forment un vecteur caractéristique. Extraction de caractéristiques et les données de dépistage, principalement dans le but d'améliorer le modèle. Si vous sélectionnez trop de fonctionnalités, il gaspille les ressources du serveur. Si vous sélectionnez quelques mauvaises caractéristiques, il affectera grandement la précision du modèle.

    Dans le processus de formation modèle généré, Zhao Yuting et de l'équipe de deux façons: l'une est liée aux caractéristiques statiques de l'échantillon, d'autre part, est tout le comportement dynamique peut être observée.

    Pour le fichier PE, par exemple, nous allons faire une extraction de caractéristiques, fonctionnalité extraction certains fichiers PE statique. Par exemple, la description de fichier, un code exécutable, des données statiques, des accessoires de signature, après un premier ensemble de caractéristiques, il dimension réduction, à savoir des caractéristiques de conversion, la dernière répétition du procédé ci-dessus, la validation du modèle. Un point plus important est que dans le processus de formation - pour protéger leurs propres échantillons de formation, ces échantillons sont collectivement appelés un ensemble de formation de la formation, notre ensemble de la formation est généralement rejoint par le jugement humain et de l'algorithme pour sélectionner, bon ou mauvais un impact direct sur la finale du jeu de formation modèle d'efficacité.

    modèle de prévision ont besoin de détecter et de vérifier, afin d'assurer une performance efficace et précis. Dans le processus de vérification de modèle, Zhao Yuting et l'équipe prendra l'autorisation d'utiliser une combinaison de validation et de la méthode de validation croisée.

    Ce qui a laissé une validation? Pour la châtaigne!

    Par exemple, le modèle utilisé pour générer l'exemple d'événement dans un événement ensemble échantillon APT, APT existante ne participe pas à l'extraction d'une formation de modèle et d'autres modèles pour analyser l'événement APT, l'intelligence des menaces liées à l'inspection des résultats d'analyse.

    La validation croisée est utilisé plus d'une fois laissé une vérification afin d'assurer que chaque événement ne participe pas à la formation ne sont pas les mêmes, est de faire en sorte que chacun puisse utiliser les données impliquées dans la validation du modèle de processus et de la formation, le modèle sera plus optimisé confiance.

    Dans la phase de laboratoire, ces méthodes généralement utilisées pour vérifier la validité du modèle, ce processus avant de lancer officiellement, nous choisirons de mettre en place un réservoir sous pression. Piscine de pression a beaucoup de données, toutes les données seront scannés dans l'étang en face de la ligne, puis d'évaluer les résultats de l'analyse, si les résultats de l'analyse en ligne avec nos attentes, l'effet de ce processus sera lancé officiellement.

    Bien que l'utilisation de l'apprentissage de la machine pour exploiter l'intelligence avancée des menaces actuelles de bons résultats, mais Zhao Lei Yuting dire Feng réseau, il y a un goulot d'étranglement - comment mettre en uvre la certification croisée en latitude temps.

    Comment assurer une grande efficacité et la précision de ce processus à l'avenir pour parvenir à cette latitude, au centre de notre prochaine étude.

    « Droit de Voyage » que pour le drame, le roi de la nuit se réfère spécifiquement au roi Nuit se réfère à un chef fantôme différent
    Précédent
    Mode de lecture de contrôle: Une fondit paillettes, PG en mode veille Unicorn
    Prochain
    En plus de Du Jiang, « l'action de la mer Rouge » LEARN comptabilité quand il y a un magazine look modèle musculaire mâle sélectionné LinChaoXian
    Mode de lecture de contrôle: pour être mince et riche beau beau acier Cannon
    Utilisé les notes de nuages de bonne façon de cette fonction, je ne veux pas taper l'iOS Android
    Laissé de la tablette Android, peut être amené micro-innovation de Samsung nouvelles attentes
    soleil Louis Koo tigres posés TVB pour le traçage détournés vers d'autres affaires Tomber en amour avec l'actrice doit passants gras
    module de commande de lecture: revêtement de réduction du film, un nouveau revêtement Optimus Prime Big Brother
    Jenova Chen « fleur » plate-forme iOS d'atterrissage au prix de 30 yuans
    propre App Store d'Apple a été nommé la sélection annuelle, est en quelque sorte de ce genre d'expérience?
    « Game of Thrones » Les gens vivants, qui se battent le plus fort? table rafale de combat d'abord
    "Monster Hunt 2" Li ne comprennent pas le dialecte du Sichuan? Feng Chow sont forcés de dire dialecte du Sichuan
    Module de jeu de contrôle: Ka Bini changer votre esprit me laisser mourir le changement
    Passez ces conseils pour prendre des photos, je suis le premier US cosmique | District 006 fait sauter