博客 | 首席技术官办公室

了解 F5 高级威胁研究中心 (ATRCoE) 背后的智囊团

Lori MacVittie 缩略图
洛里·麦克维蒂
2022 年 5 月 25 日发布


作为 F5 首席技术官办公室的一部分,高级威胁研究卓越中心致力于揭开困扰互联网的最普遍威胁的秘密。 作为对F5 实验室对威胁情报的重视的补充,ATRCoE 开展高级威胁研究,以提出有关网络安全风险的由外而内的观点。 然后对该研究进行分析,以在网络安全领域产生令人信服的思想领导力和见解。

Aditya Sood 博士的带领下,这个新团队已经发现了高级威胁,并在《Virus Bulletin》、《Elsevier Magazines》、《BlackHat Arsenal》等多家出版物以及德克萨斯网络峰会、BSides Berlin、Hack-in-Paris、Secure 360、Virus Bulletin 等行业领先的安全会议等发布了研究成果。 以下列出一些值得注意的作品:

该团队由威胁研究人员和开发工程师组成:

  1. Amit Nagal是 F5 的首席数据科学家。 他在机器学习和分析方面拥有超过 15 年的经验。 他拥有MGS大学发展科学博士学位。 他过去曾在 Verizon 和摩根大通工作过。  
  2. Bharathasimha Reddy Devarapally是 F5 的软件工程师。 他于 2020 年获得印度瓦朗加尔国家技术学院计算机科学学士学位。 他一直积极致力于 F5 的威胁研究。 
  3. Ruthvik Reddy Sankepally是 F5 的一名软件工程师。 他毕业于海得拉巴皮拉尼技术学院 (BITS Pilani Hyderabad),获得计算机科学学士学位。

团队如何发现威胁

ATRCoE 团队专注于威胁的战略、作战、战术和分析方面。 通过了解高级威胁的业务风险和影响,他们决定了威胁研究主题。 然后,他们剖析这些威胁以找到他们的 TTP(技术、战术和程序)、KSA(知识、技能和能力)以及 AIL(攻击基础设施和发射台)。 在此背景下,通过研究现有的工作,该团队形成了研究基础并决定了解决问题的最佳方法。 该方法可以是防御性的、进攻性的、或混合性的。 所采用的技术可能是主动的、被动的、或者两者的结合。 他们通过构建开源工具并在各种安全门户和会议上发布研究来共享威胁情报。

威胁如何引起 ATRCoE 的关注

选择研究主题的方法基于内部开发的 TRIG(威胁研究和情报生成)框架。 该研究是根据与互联网上正在发生的高级威胁的相关性来选择的。 由于其紧迫性以及对 F5 产品的影响,包括零日漏洞在内的高度严重且广为人知的高级威胁引起了主要关注。 例如,ATRCoE 分析了民族国家对手专门使用的高级威胁,如 AZORult、Collector-stealer、Blackguard 等。

此外,ATRCoE 还致力于利用 ML/AI 来应对网络安全挑战。 例如:在 F5 的安全数据仓库中以结构化格式分析大量 DNS(域名服务器)和 HTTP(超文本传输协议)日志,然后探索数据以查找威胁形势中的有趣威胁产物和趋势,以了解当前的挑战。 例子包括该团队发表的关于使用 Covid-19 主题的网络钓鱼网站的研究成果和 Project Astra 的 DGA 检测研究。

ATRCoE 研究采用的工具

该团队采用混合方法,其中使用各种各样的工具进行分析、自动化和智能,包括内部设计的自定义脚本、开源工具(如 nmap、masscan、wireshark、tshark、bro、Radare2/Cutter、Ghidra、python 等)和企业工具(如 Burp 代理)。
_____

由于此类研究的性质,很难预测何时会发布新内容,但您可以期待很快看到更多来自该组的内容。