Apt模型,apt特征

【参考:攻击分析模型】
1. 初期规模
1) 意外打开事前知道已感染的文件
2) 数字设备感染
3) 随机发生的浏览器被攻击事件
4) 因使用社交网络SNS而被感染
5) 服务器端遭受攻击
6) 针对性某个公司指定设计的攻击方式
7) 内部的感染事件
8) 利用邮件附件等手段发起的攻击
9) 鱼叉式钓鱼攻击(包括员工对员工或者员工对高管两种攻击方式)
10) 针对性明显的水抗攻击


2. 波及程度
1) 低级别员工的系统
2) 低级别经理的系统
3) 网络管理员的系统
4) 企业网络的前端系统(DMZ、边界设备、WEB服务器等)
5) 行政助理的系统(负责处理高管的邮件、文件、打印等事物)
6) DNS系统
7) 企业邮件系统
8) 主要数据库系统、主要文件系统
9) 安全团队的系统
10) 企业管理层、关键股东、高级执行层的系统


3. 风险承受力
1) 没有动过日志
2) 修改过登陆/访问日志
3) 连接日志、连接次数被修改过
4) 清除全部系统日志
5) 整个系统日志出现损坏问题
6) 禁用了操作系统的安全机制
7) 禁用了特定的安全程序
8) 特定程序被损坏
9) OS/操作系统被损坏
10) 整个系统被抹掉


4. 时间进度
1) 多个系统被长时间的访问(熟悉情况、搜索信息)
2) 在特定网络的多个系统被长时间访问
3) 在特定程序运行期间，多个系统被长时间访问
4) 某些系统被长时间访问，并可以确定对手窃取了特定的信息
5) 某些系统被定期访问，并且访问了特定类型的文件
6) 某些系统被定期访问
7) 某些系统被多次访问
8) 特定系统被访问的时间段大致有时间规律
9) 特定系统被多次访问，基本可以认定是被蓄意攻击
10) 特定系统被直接、有效的访问


5. 技巧和方法
1) 使用开源、可公开免费下载的工具，用到的技巧很简单
2) 使用开源、可公开免费下载的工具，用到一些改良的技术
3) 使用开源、可公开免费下载的工具，所用的技术完全独创
4) 将开源、可公开免费下载的工具进行改良，所用的技术完全独创
5) 组合使用自己改良的工具和(破解的)商业工具，所用的技术完全独创
6) 组合使用自己改良的工具和(破解的)商业工具，用到专业的技术
7) 组合使用自己改良的工具和(破解的)商业工具，用到专业的技术，入侵前后特征一致
8) 使用完全自创的工具包，对操作系统的指令、选项、参数有中等程度的理解，并能在企业网络中发起相应的攻击
9) 使用完全自创的工具包，对操作系统的指令、选项、参数有较深理解，发动的攻击只会对这个企业奏效
10) 使用前所未闻的自创/定制工具,能够针对网络的具体情况发起特定的攻击


6. 行动措施
1) 入侵者拿系统练手
2) 入侵者存储一些信息（例如音乐、电影等）
3) 自动蠕虫导致
4) 被其他传播恶意软件的网站感染
5) 将系统作为僵尸网络的一部分使用
6) 将系统作为僵尸网络的一部分使用，并且窃取数据
7) 将系统当做节点，用于攻击企业外部的网络
8) 将沦陷的系统作为节点使用，攻击企业外部和内部网络，进而渗透合作单位、客户等
9) 将沦陷的系统作为节点使用，攻击企业外部和内部网络，进而渗透企业运作的关键信息
10) 将沦陷的系统作为节点使用，攻击企业外部和内部网络，进而渗透企业运作的关键信息，并且将信息售卖给竞争对手


7. 最终目标
1) 好奇
2) 试图获取登陆账号的信息
3) 试图获取企业级别的信息，例如邮件、各种密码等
4) 试图在企业网络中获取企业、合作单位、顾客的信息
5) 试图在企业网络中获取个人的敏感信息
6) 试图在企业网络中获取个人的财务信息
7) 试图在企业网络中获取企业的财务信息
8) 试图在企业网络中获取运营、财务、研发项目的信息
9) 试图在企业网络中获取指定的高层人员的信息
10) 试图获取特定级别的信息，对企业影响重大的消息，保密信息等


8. 后勤资源
1) 一个人
2) 多个无关的人，组成杂乱的攻击方式
3) 一个team，拥有专业攻击技能
4) 竞争对手
5) 国家级别


9. 知识来源
1) 网上公开资料
2) 地下论坛
3) 内部分享资料


算法:
一． 所有分值相加得到总分:
最高分:88分
1~30分 低级别安全威胁
31~60分  中等级别安全威胁
60~88分  高等级别安全威胁


二． 根据安全威胁级别投入的资源不同