专栏四|APT攻击,挥之不去的隐忧

专栏四|APT攻击,挥之不去的隐忧

时间:2022-10-10 作者:安帝科技

文/周磊

9月11日,第九届国家网络安全宣传周落下帷幕,APT(高级持续性威胁)攻击依旧成为热词。宣传周期间,国家计算机病毒应急处理中心发布了《西北工业大学遭美国NSA网络攻击事件调查报告》,曝光了NSA下属的特定入侵行动办公室(TAO)对西北工业大学长期隐蔽的攻击窃密活动,引爆了全球舆论。
另一起震惊全球的事件是,9月7日,北约成员国阿尔巴尼亚宣布与伊朗断绝外交关系,缘由是伊朗APT组织在7月对阿国进行了大规模网络攻击。这是世界上第一起因网络攻击导致两国断交的事件。

APT是一种隐蔽的威胁行为体,通常是一个民主国家或国家支持的组织,未经授权访问目标计算机网络,并在很长一段时间内不被发现,动机通常是政治或经济目的。其攻击过程有八个步骤:初始突破、建立据点、权限提升、内部侦察、横向移动、隐蔽潜伏、数据盗取、任务达成。
据统计,全球发现的APT组织超过150个,分布在美国、以色列等国。过去几年,有50个其他背景的黑客组织,对中国的国家级网络进行了数千次攻击。2020年,针对中国的有13个,首次披露了4个,如魔鼠、蓝色魔眼和旺刺等。2021年上半年,针对我国的APT组织有12个,首次发现的2个为芜琼洞、伪猎者。
攻击领域广泛,规模庞大;攻击目标多样,全域覆盖;攻击技术先进,手法复杂。这是APT组织攻击的典型特征。当前,攻击手段多样化、复杂化、融合化、勒索化的特征更为明显,零Day漏洞利用、网络钓鱼、AI欺骗、虚假错误信息扰乱,甚至供应链攻击、假冒产品植入、内部人员威胁等,不断有新型手段出现。勒索化APT不容小觑。据统计,已有43个APT组织采用勒索软件攻击套路。
APT组织攻击的目标对象,从行业来看,能源、交通、金融、科技、医疗等无不涉及。备受关注的伊朗APT33,热衷的目标是石油供应链,欧洲、亚洲的石油公司以及关联的上下游企业,在2018、2019年均遭受攻击。
APT攻击的防御是当前网络空间安全对抗的焦点和难点,也是国家政治、经济、外交、军事、科技等实力对抗的前沿。传统的病毒对抗、保密对抗、恶意代码对抗、安全风险对抗,已无法遏制和威慑APT组织的攻击态势,迫切需要突破单纯技术对抗、威胁情报对抗、网络能力对抗的局限,应着力构建体系对抗、情报对抗、人力对抗、文化对抗的综合态势。
体系对抗,是APT对抗的典型属性,是系统思维的运用和系统工程的实践。这可简单理解为国家/组织资源体系之间的全面对抗。这类资源包括经济、政治、外交、科技、媒体和军事等资源。
情报对抗,颠覆战术型网络威胁情报对抗的局限,把网络情报、信号情报、人力情报等要素纳入综合对抗范畴,赋能APT对抗情报能力。这是国家间网络空间安全对抗的必然选择。
人力对抗,以人为核心的网络安全,即人是网络安全的最大变量。这是组织和企业应当积极倡导的重要理念。网络空间安全对抗,实则是攻防两端人的对抗。这是APT对抗的本质。培养和提升网络安全人才,是厚实对抗实力的关键。
文化对抗,网络安全文化,应当是企业文化的有机组成部分。组织、员工正是这种网络安全文化的载体。技术、设备、人员更替势不可当,唯有内化于心、外化于行的生生不息的文化力量绵延传承。这是网络空间安全对抗的终极形态。

来源:加油站服务指南