国家级威胁行为者
国家级威胁行为者 是什么?
国家级威胁行为者受政府支持或与政府一致的威胁行为者,为实现战略、情报、军事或经济目标开展网络行动。
国家级行为者通常是情报机构、信号情报组织、军方网络司令部或在国家指令下行动的承包商。它们长期开展间谍活动、在关键基础设施中预置、破坏、影响行动以及攻势性网络作战。典型例子包括与俄罗斯关联的 Sandworm 与 APT29(Cozy Bear)、与中国关联的 APT41 与 Volt Typhoon、与伊朗关联的 APT34(OilRig)与 Charming Kitten、与朝鲜关联的 Lazarus Group,以及在 Shadow Brokers 泄露中曝光的美国/五眼联盟能力。它们一般拥有更大预算、定制恶意软件、零日漏洞、供应链访问与超出多数犯罪团伙的 OPSEC。归因结合技术指标、基础设施、语言痕迹、受害学与情报报告。
● 示例
- 01
Sandworm(俄罗斯 GRU 74455 部队)被归因于 2017 年的 NotPetya 与多次乌克兰电网攻击。
- 02
Volt Typhoon(中国)于 2023 年被公开披露为在美国关键基础设施中潜伏以备未来扰乱之用。
● 常见问题
国家级威胁行为者 是什么?
受政府支持或与政府一致的威胁行为者,为实现战略、情报、军事或经济目标开展网络行动。 它属于网络安全的 防御与运营 分类。
国家级威胁行为者 是什么意思?
受政府支持或与政府一致的威胁行为者,为实现战略、情报、军事或经济目标开展网络行动。
国家级威胁行为者 是如何工作的?
国家级行为者通常是情报机构、信号情报组织、军方网络司令部或在国家指令下行动的承包商。它们长期开展间谍活动、在关键基础设施中预置、破坏、影响行动以及攻势性网络作战。典型例子包括与俄罗斯关联的 Sandworm 与 APT29(Cozy Bear)、与中国关联的 APT41 与 Volt Typhoon、与伊朗关联的 APT34(OilRig)与 Charming Kitten、与朝鲜关联的 Lazarus Group,以及在 Shadow Brokers 泄露中曝光的美国/五眼联盟能力。它们一般拥有更大预算、定制恶意软件、零日漏洞、供应链访问与超出多数犯罪团伙的 OPSEC。归因结合技术指标、基础设施、语言痕迹、受害学与情报报告。
如何防御 国家级威胁行为者?
针对 国家级威胁行为者 的防御通常结合技术控制与运营实践,详见上方完整定义。
国家级威胁行为者 还有哪些其他名称?
常见的别称包括: 国家支持的行为者, 国家行为者。
● 相关术语
- defense-ops№ 057
APT 组织
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
- defense-ops№ 1145
威胁行为者
通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
- attacks№ 017
高级持续性威胁 (APT)
资源充裕、隐蔽性强的威胁组织 —— 通常由国家支持 —— 长期潜伏在目标网络中,用于窃取数据或为未来破坏行动预先布局。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- defense-ops№ 1131
战术、技术与过程(TTPs)
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
- attacks№ 1116
供应链攻击
通过攻陷可信的第三方软件、硬件或服务提供商,进而入侵其下游客户的攻击方式。
● 参见
- № 458黑客行动主义者