长亭百川云 - 文章详情

关于APT观察

APT观察

42

2024-07-14

昨天半夜发出公众号的第一篇文章,今天下午下班回家,发现竟然已经有了一百余粉丝,文章阅读量接近两千,这对于定位于这样一个偏门专业领域的个人公众号而言,着实有点超过本人的预期了,再次感谢各位友人抬爱。

其间有朋友问我,为何考虑以此领域为主题开公众号?我想正好不妨趁着这个热乎劲儿,来讲讲我的个人想法。

APT,即高级持续性威胁(Advanced Persistent Threat),是最早由美国空军的一些网络安全分析师所创造出来的术语。在2005-2006年左右,网络安全形势出现了一些微妙的变化:一方面是越来越多的攻击者开始注意到各种高价值的网络攻击目标(商业机密、知识产权、虚拟资产、军事情报等);另一方面,各类机构的网络安全防护能力也逐渐开始提升,商业化的边界防护设备、入侵检测设备成为常规配置,攻击成功的难度和成本变得越来越高。在这样的背景下,一类目的高度明确、行动组织严密、资源投入巨大、隐蔽持续较长时间的网络攻击逐渐出现并成为网络威胁的主要形式,这样的攻击就被称为高级持续性威胁(APT)。

震网病毒(Stuxnet)可以说是最早、最典型、最成功的APT攻击行动,它实际上是美国及其盟国共同实施的所谓“奥运会行动(Operation Olympic Games)”的组成部分。这项行动,最早从2006年开始实施,然而直至2010年6月才被发现痕迹,在最终被清除前威胁行动持续了至少四年左右时间;该计划成本投入巨大,仅在震网病毒中所使用到的四个未公开零日漏洞(0day,指攻击者掌握但公众尚未了解且尚无修补防范手段的漏洞),在黑市上就价值上百万美元;通过数年隐秘的行动,美方情报机构达到了顺利潜入伊朗纳坦兹铀浓缩设备控制网络并最终破坏设备的目的,伊朗核计划进程因此推迟了一年半到两年时间,可以说实现了极高的战略与战术价值。

在震网病毒被发现后,全球网络安全机构对其进行了广泛深入的分析研究,几乎所有人都将嫌疑目标指向对伊朗核计划恨之入骨的美国、以色列。然而直到2012年有美国政府内部人士向纽约时报提供匿名爆料,才证实了震网确系由美国政府批准的网络秘密行动。而且,至今为止伊朗及其盟友们也无法完整的复盘震网病毒是如何潜入纳坦兹的流程,也无法找到美、以情报人员留下的痕迹线索。这正是APT攻击高度隐蔽性的典型体现。

可以说,参与“震网病毒”和“奥运会行动”的CIA、NSA及以色列情报机构的8200部队正是实施高级可持续威胁APT这项技术的始作俑者和集大成者。在此之后,“奥运会行动”犹如打开了一个潘多拉魔盒:各种类型的犯罪组织、势力团伙、甚至国家级军情机构,看到了APT这种网络攻击形式可能带来的巨大利益诱惑,同时又发现被溯源归罪的风险极低,纷纷尝试用APT的方法开展网络攻击行动。

在这样一个群魔乱舞的情形下,美国作为全球网络化程度最高、网络技术应用最为普及、也是全球经济最富强发达的国家,自然而然的也就成为过去十年里全球APT攻击的重灾区。然而,不要忘记美国才是这项法门的鼻祖,在这深受其害的十年间通过产业界、政府、执法情报机构等各方与各类APT组织的对抗,美国也自然而然的成为了全球在防范对抗APT技术方面的最强者。

从2013年2月曼迪昂特公司(Mandiant,现已被FireEye公司收购)发布APT1报告开始,直至本月美国司法部起诉GRU的12名军官(被认为属于APT28,也称Fancy Bear),从五年多时间以来美方公布的各种渠道公开信息都清晰的昭示:美国的网络安全产业界及执法情报机构,已经积累形成了一整套行之有效的网络攻击追踪溯源方法,其对抗能力水平、资源掌控情况总体而言显著高于其主要对手。也就是说,在这样的对抗形势之下,对手势力一旦试图向美国机构发起APT攻击行动,就有较大几率被美方机构发现;在作战战线与行动周期不断拉长的情况下,攻击者最终几乎必然暴露目标、被美方机构追踪溯源。可以说,美方通过建立这样的技术优势,已经基本上可以实现对国家级行为体的“网络威慑”目的。

而反观我国,在国际形势微妙复杂、国际竞争对抗日趋激烈的现实之下,毫无疑问,我们应当假定的事实是对我国的高级持续性网络攻击威胁形势必将越来越复杂;而从最近这几年的实践情况来看,除了疑似来自东南亚某国的“海莲花”(OceanLotus)、以及疑似来自南亚某国的“白象”(Dropping Elephant,也称Patchwork),我们几乎没有看到有来自我国的安全研究机构独立发现的对中国实施APT攻击的组织。这样的矛盾情况,我只能得出一个悲观的解释:在风平浪静的海面之下,还有不计其数的对华APT组织在潜伏行动,而我们对此却一无所知。

这正是本人开设这个公众号的初衷所在。从过去十年以FireEye、CrowdStrike等公司为代表的成功案例以及他们发布的各类研究报告中可以看到,APT的跟踪分析,并非高深莫测的技术,而是全局协调的工作机制、科学理性的分析方法加上锲而不舍的钻研精神。希望通过这个公众号,将他们的成功经验传播分享给有志从事这一行当的同行者,让我们劈开海浪,抓住大鱼。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2