Threat Actor Intelligence Cards (auch bekannt als Threat Actor Cards) bieten eine On-Demand-Zusammenfassung wichtiger Informationen zu einer bestimmten Gruppe von Bedrohungsakteuren. Bedrohungsakteurskarten werden in Echtzeit aktualisiert, wenn Recorded Future neue Informationen sammelt. Sie können Bedrohungsakteurkarten als Ausgangspunkt verwenden, wenn Sie einen Bedrohungsakteur identifizieren und eine Risikobewertung für Ihre Organisation vornehmen oder wenn Sie eine Risikobewertung aktualisieren. Bedrohungsakteurskarten sind auch Dreh- und Angelpunkte bei Untersuchungen, die mit einem Indikator, einem Malware-Tool oder einer Schwachstelle beginnen.

Beschreibungen mehrerer allgemeiner Komponenten der Threat Actor Card finden Sie in der Übersicht über Intelligence Cards. Die folgenden Details sind spezifisch für die Bedrohungsakteurskarte:

Überschrift

The heading section identifies the Threat Actor Group. Many cards list multiple names for the same group, as used by different communities of practitioners, researchers, and vendors.

Viele Intelligence Cards verknüpfen Bedrohungsakteure mit einer oder mehreren Bedrohungsakteurkategorien. Diese Kategorien ordnen Bedrohungsakteure in Risikobereiche ein, z. B. finanziell motivierte, von Nationalstaaten gesponserte und hackende Gemeinschaften. Kategorien erfassen auch das Land, von dem aus die Bedrohungsakteursgruppe gemeldet wird. Die Kategorien " National State Sponsored " stellen APT-Bedrohungsakteure dar, die fortschrittliche Methoden verwenden, um in Zielnetzwerken hartnäckig zu bleiben, oft mit dem Ziel, hochwertige Daten zu exfiltrieren.

Die Identifizierung, Zuordnung und Charakterisierung von Bedrohungsakteuren ist bekanntermaßen schwierig. Die Zuordnung von Bedrohungsakteursgruppen zu Ländern und Kategorien in Recorded Future ist nicht als endgültige Tatsachenfeststellung gedacht. Stattdessen erfasst es den Konsens oder die führende Hypothese in der Sicherheitsgemeinschaft, wie von unserem Team beobachtet - oder kann eine Gruppe von Bedrohungsakteuren mit mehreren Kategorien verknüpfen, wenn es starke konkurrierende Hypothesen in der Sicherheitsgemeinschaft gibt. 

Wir freuen uns über Feedback, Vorschläge und Kritik zu den Metadaten von Bedrohungsakteuren. Bitte verwenden Sie die Aktion Datenüberprüfung anfordern, um mit uns in Kontakt zu treten.

Zeitleisten für aktuelle Ereignisse

Most Threat Actor Cards present two timelines. The first timeline section, colored in blue, gives summary metrics for all reporting involving the Threat Actor, and shows a timeline of reporting in the last 60 days.

The second timeline section summarizes reported Cyber Attack and Cyber Exploit events where the Threat Actor was directly reported as the attacker. Each day in the cyber event timeline is color-coded by the criticality of the Cyber Threat signal for this Threat Actor on that date.

Targeting und Betrieb

In diesem Abschnitt werden Methoden, Ziele und Vorgänge oder Kampagnen aus Cyberangriffen zusammengefasst, bei denen dieser Bedrohungsakteur direkt als Angreifer gemeldet wurde. Zu den Methoden gehören generische Angriffsvektoren, Malware-Tools und Malware-Kategorien sowie Schwachstellen. Sie können auf eine dieser Top-Entitäten klicken, um die Ereignisse anzuzeigen, die diesen Link melden. Verwenden Sie die Aktion In Zeitachse anzeigen, um einen Drilldown durchzuführen, um weitere verwandte Entitäten in der Zeitachse, Tabelle, Strukturkarte usw. anzuzeigen.  

Zusammenhang

In diesem Abschnitt werden andere Infrastrukturen und Entitäten, die mit dem Bedrohungsakteur gemeldet werden, nach Entitätstyp geordnet zusammengefasst. Sie können die spezifischen Ereignisse für jeden Link anzeigen, indem Sie auf die zugehörige Entität in der Liste klicken. Aktuelle Risikobewertungen werden, sofern verfügbar, angezeigt. Sie können weitere verwandte Entitäten anzeigen, die über die oberste Liste in der Intelligence-Karte hinausgehen, indem Sie auf die Aktion In Tabelle anzeigen klicken.

Aktuelle Referenzen und erste Referenz

Each Threat Actor Card concludes with a set of individual references, highlighted based on time of reporting (most recent report and first report) or highlighted as the most recent report from an event type or group of sources. These highlighted recent events include Cyber Events, Paste Sites, Social Media, Information Security sources, Underground Forums, and Dark Web sources.