作为 F5 首席技术官办公室的一部分,高级威胁研究卓越中心致力于揭开困扰互联网的最普遍威胁的秘密。 作为对F5 实验室对威胁情报的重视的补充,ATRCoE 开展高级威胁研究,以提出有关网络安全风险的由外而内的观点。 然后对该研究进行分析,以在网络安全领域产生令人信服的思想领导力和见解。
在Aditya Sood 博士的带领下,这个新团队已经发现了高级威胁,并在《Virus Bulletin》、《Elsevier Magazines》、《BlackHat Arsenal》等多家出版物以及德克萨斯网络峰会、BSides Berlin、Hack-in-Paris、Secure 360、Virus Bulletin 等行业领先的安全会议等发布了研究成果。 以下列出一些值得注意的作品:
该团队由威胁研究人员和开发工程师组成:
ATRCoE 团队专注于威胁的战略、作战、战术和分析方面。 通过了解高级威胁的业务风险和影响,他们决定了威胁研究主题。 然后,他们剖析这些威胁以找到他们的 TTP(技术、战术和程序)、KSA(知识、技能和能力)以及 AIL(攻击基础设施和发射台)。 在此背景下,通过研究现有的工作,该团队形成了研究基础并决定了解决问题的最佳方法。 该方法可以是防御性的、进攻性的、或混合性的。 所采用的技术可能是主动的、被动的、或者两者的结合。 他们通过构建开源工具并在各种安全门户和会议上发布研究来共享威胁情报。
选择研究主题的方法基于内部开发的 TRIG(威胁研究和情报生成)框架。 该研究是根据与互联网上正在发生的高级威胁的相关性来选择的。 由于其紧迫性以及对 F5 产品的影响,包括零日漏洞在内的高度严重且广为人知的高级威胁引起了主要关注。 例如,ATRCoE 分析了民族国家对手专门使用的高级威胁,如 AZORult、Collector-stealer、Blackguard 等。
此外,ATRCoE 还致力于利用 ML/AI 来应对网络安全挑战。 例如:在 F5 的安全数据仓库中以结构化格式分析大量 DNS(域名服务器)和 HTTP(超文本传输协议)日志,然后探索数据以查找威胁形势中的有趣威胁产物和趋势,以了解当前的挑战。 例子包括该团队发表的关于使用 Covid-19 主题的网络钓鱼网站的研究成果和 Project Astra 的 DGA 检测研究。
该团队采用混合方法,其中使用各种各样的工具进行分析、自动化和智能,包括内部设计的自定义脚本、开源工具(如 nmap、masscan、wireshark、tshark、bro、Radare2/Cutter、Ghidra、python 等)和企业工具(如 Burp 代理)。
_____
由于此类研究的性质,很难预测何时会发布新内容,但您可以期待很快看到更多来自该组的内容。