威胁行为者
威胁行为者 是什么?
威胁行为者通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
威胁行为者是威胁情报与事件响应团队用来描述任何在网络行动中被观测到的对手的统称。常见类别包括国家级行为者、有组织的网络犯罪团伙、黑客行动主义者、内部威胁、恐怖组织、独狼以及脚本小子。每一类都根据动机(间谍、谋利、破坏、意识形态)、能力、复杂度、基础设施以及映射到 MITRE ATT&CK 的 TTPs 进行画像。不同厂商采用不同命名:APT、FIN、UNC、Mandiant temp、CrowdStrike 的 spider/panda/bear、微软的气象命名,以及 Recorded Future 的 TAG 编号。理解行为者画像有助于确定检测优先级、情报需求与防御控制。
● 示例
- 01
对国防承包商进行长期间谍活动的国家级威胁行为者。
- 02
勒索软件附属机构向初始访问经纪人购买入口,在制造企业部署 LockBit。
● 常见问题
威胁行为者 是什么?
通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。 它属于网络安全的 防御与运营 分类。
威胁行为者 是什么意思?
通过网络行动有意造成或试图造成对信息系统、组织或个人伤害的个人或组织。
威胁行为者 是如何工作的?
威胁行为者是威胁情报与事件响应团队用来描述任何在网络行动中被观测到的对手的统称。常见类别包括国家级行为者、有组织的网络犯罪团伙、黑客行动主义者、内部威胁、恐怖组织、独狼以及脚本小子。每一类都根据动机(间谍、谋利、破坏、意识形态)、能力、复杂度、基础设施以及映射到 MITRE ATT&CK 的 TTPs 进行画像。不同厂商采用不同命名:APT、FIN、UNC、Mandiant temp、CrowdStrike 的 spider/panda/bear、微软的气象命名,以及 Recorded Future 的 TAG 编号。理解行为者画像有助于确定检测优先级、情报需求与防御控制。
如何防御 威胁行为者?
针对 威胁行为者 的防御通常结合技术控制与运营实践,详见上方完整定义。
威胁行为者 还有哪些其他名称?
常见的别称包括: 对手, 网络威胁主体。
● 相关术语
- defense-ops№ 714
国家级威胁行为者
受政府支持或与政府一致的威胁行为者,为实现战略、情报、军事或经济目标开展网络行动。
- defense-ops№ 901
勒索软件团伙
以经济利益为动机的网络犯罪团伙,开发、运营或分发勒索软件,通过加密文件与数据泄露威胁勒索组织。
- defense-ops№ 057
APT 组织
拥有命名并被持续跟踪的威胁组织(通常受国家支持),对特定组织或行业发起有针对性、长期且资源充足的入侵活动。
- defense-ops№ 542
内部威胁
现任或前员工、承包商、合作伙伴等具有合法访问权限的人员,出于故意或过失而滥用权限造成损害的风险。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。
- defense-ops№ 1131
战术、技术与过程(TTPs)
对威胁行为者运作方式的分层描述:战术(为什么)、技术(怎么做)、过程(具体实现)。
● 参见
- № 458黑客行动主义者
- № 977脚本小子(Script Kiddie)
- № 268网络犯罪即服务(CaaS)
- № 418FIN 威胁组织
- № 1191UNC 集群(未分类)
- № 457黑客
- № 098黑帽黑客