【注】文本轉載自臺灣的資安人。情報分析（Intelligence Analysis）是指對有用的信息進行分解、合成，通過邏輯推理得出有價值的結論。借助信息化的手段，當前的情報分析手段和工具被美國軍方歸納出了14種，包括文中提及的“意圖分析”，“文化分析”、“群聚分析”，等等。美國軍方已經建立了這樣的情報分析系統，但對于應用在APT識別上，卻是一個比較新穎的想法，我很贊同。

近來，國際間出現不少APT(Advanced Persistent Threat)***事件，也因此造成這個話題的熱門。不過，八月初將于第19屆美國駭客年會Defcon發表「亞洲區APT***解密」的Xecure Lab團隊說，APT***，其實常被誤解。

例如過去就曾有某許姓立法委員召開記者會，收到行政院秘書室的病毒信，要求要徹查資安，而這起事件被認為是一起「病毒信」事件，Birdman說，其實這正APT***當中的一環，秘書的電腦往往要處理最多機敏的事情，所以往往是公級的目標。所以最錯誤的處理，就是將之當成單一的病毒事件，掃毒結束后便以為事件結束。

APT的***武器都是相當獨特的，采取0 day漏洞再搭配客制化***，由于是針對高價值的政治、經濟、高科技、軍事目標，因此往往也都是運用國家級的資源來制作***武器。也因此，任何的***行動都有其背后的目的，例如發行簽章的公司被攻破，真正目標是要運用簽章來進行下一步的布署，目的是對某個防守嚴密的政府機關進行社交工程，對方一看到經過簽章的信件，便信任的打開，這反而是最危險的安全認證。

Birdman說，他們透過國外搜集APT、惡意程式的專家Mila的樣本(注)來做研究，取其242個APT樣本，對樣本進行靜態分析，觀察出八大族群，而這些族群雖然都運用八到九種不同的漏洞，在使用惡意程式的方式上倒有固定類型。

此外，臺灣、美國與香港分別是被APT***的前三名，顯示可能由于這些地方相對有著良好的網路環境以及許多的駭客***中繼站(C&C, Control & Command Server)，成為遭受APT***最多的地方。他們也透過這個研究，找到了APT***武器販售商，并與之對話，透過駭客的觀點來看資安，可以知道的是， 目前紅極一時的Apple系統將會是駭客未來的***發展目標。

而這個研究方向，主要是希望可以透過分析APT樣本的行動與武器特征，找出背后的駭客集團特征和習慣，Birdman認為最重要的關鍵在于，現在資安的研究還停留在單一樣本的分析，做單一惡意程式行為的分析，視野不能提升就難以觀察到駭客集團的趨勢與計劃。

他強調，未來的資安策略應該是「情資導向」的防護思維。當你了解到這個集團的領導者是誰？有可能采用什么惡意程式工具？找誰來當打手？就越可能運用一些自動化的情資分析系統，推演分析出對方的戰略，而不是將對方的***戰略中的一小步，當成普通的病毒事件來處理，掃掃毒就算危機解除。

網路黑社會都軍事化了，我們還在拿棍棒練身體，豈不是自以為無敵的義和團？這些是人的問題，得靠人解決。

【參考】APT和實時威脅管理必讀系列

總結

以上是生活随笔為你收集整理的从情报分析的高度来看APT***的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。