今天來寫聽到的ＡＰＴ吧
做IR必須有的觀念

什麼事APT？

APT (Advance Persistent Threat)進階持續性威脅

就是駭客集團針對特定組織（如政府單位）做複雜且多方面向的網路攻擊。社交工程、網路釣魚、滲透測試等只要能入侵到目標組織內部竊取重要資料都是ＡＰＴ。
因為近年來ＡＰＴ的事件越來越多，也促使Cybercrime蓬勃發展，企業投入的資金越來越多，越來越受到重視。
ＡＰＴ是長期且多階段的攻擊模式。
為了能長期潛伏，攻擊頻率甚至可以用『年』來計算。一年只發動一次 小流量的攻擊。根本不易察覺

當駭客成功滲透到目標組織內部網路後，為了盡量隱藏自己，會偽裝成正常的程式、或是低頻率的活動，或是在合法時間內低頻率的活動，用合法身份執行動作，防毒不會叫、根本不易察覺。

為了入侵到某個定組織，必須從任何可能的地方迂迴繞過方式長期進行。
例如 上下游、客戶、醫院、員工、USB、關係人等 供應鏈攻擊

APT 攻擊週期

目標偵查  > 攻擊目標 > 潛伏控制 > 橫向移動 > 達標
目標偵查：長期搜集目標的資訊（使用者習慣、資產表、架構圖、巴拉巴拉等）
攻擊目標：發動相應的攻擊啦
潛伏控制：盡可能隱藏自己，持續竊取重要資料
橫向移動：看能不能不動聲色地擴散（？）
達標：目標資料ＧＥＴ

可以看看烏克蘭電廠遭駭的案例：
https://www.facebook.com/twcertcc/posts/1870728446490225/
https://www.ithome.com.tw/news/114880
http://www.ipv6.org.tw/summit2016/presentation/20161212/4-2.pdf

做 IR 必備意識、知識

ＡＰＴ觀念
Windows hacking / Linux hacking / Mac hacking
知道攻擊手法，才能知道怎麼預防

過往都是被動式防禦，現在漸漸有『主動獵殺駭客』機制
難點：駭客入侵後取得內部密碼，用合法身份合法時間活動，要怎麼『主動獵殺駭客』呢？