内部迹象:组织拥有可在边界(网络边界、工作站、承包商连接、BYOD)或业务关键(包含知识产权、处理和存储客户数据、外部财务报告等)访问的潜在易受攻击的信息资产。
来自竞争对手的迹象:竞争对手已经开始评估可能的攻击对业务造成的影响。
威胁发展阶段“儿童”
假设:可能出现一种新的威胁——一种实施难度为中 柬埔寨电报数据 等的新型攻击或漏洞。
可能的实施者:另外组织的网络犯罪。
外部标志:
PoC 是公开的;
有关实施威胁的信息。
内部标志:
该组织拥有潜在的脆弱信息资产;
缺乏制造商的修复或无法安装;
触发威胁特征的妥协指标 (IoC) — 与外部资源的交互、基于 PoC 创建的 yara 规则 (描述存在恶意软件的迹象);
在攻击的后期触发反 APT 解决方案。
竞争对手的迹象:竞争对手已经开始开发项目构想来应对威胁。
威胁发展阶段“青少年”
假设:可能出现一种新的威胁——一种实施起来复杂程度较低的新型攻击或漏洞。
外部标志:
在公共领域发现了漏洞;
有关实施威胁的信息。
内部标志:
该组织拥有脆弱的信息资产;
缺乏制造商的修复或无法安装;
触发 IoC、防病毒和 IDS(入侵检测系统)特征威胁;
在攻击的后期触发反 APT 解决方案。
竞争对手的迹象:竞争对手已经开始实施项目来应对威胁。
威胁发展阶段“成人”
假设:网络威胁形势已扩大,出现了另一种威胁,在针对组织的攻击中,人们积极使用了各种策略和漏洞。
可能的罪犯:另外还有黑客分子和流氓。
外部迹象:漏洞和攻击方法广泛存在且成本低廉、新闻报道、客户投诉。
内部标志: