国际间的APT攻击到底有多可怕？
稿源：极客公园
大卫&莱特曼是一个电脑少年天才，一天，他搜索破解了一台网络电脑，玩上了一个叫做「全球热核战争」的游戏。不曾想这竟是美国军方电脑，隐藏在游戏之后的竟是战争计划响应系统。大卫的游戏即将引发军方核弹的自动发射，他不得不用自己的黑客技术来阻止这场战争&&
电影《War Games》中的情节在今天已经成为现实，黑客攻击与核武器、国家间的信息安全越来越多地纠缠在一起。
2010 年，卡巴斯基的一位安全专家发现在 U 盘上存在一种特殊的病毒&&震网病毒。通过分析震网，揭穿了伊朗核电站遭受的多年黑客攻击。这次攻击是某个国家为阻止伊朗核武器计划，通过高强度手段渗透进伊朗物理隔离的最高绝密核电站网络。攻击的强大和可怕在于&&渗入一个国家的最高机密，并且能够穿透物理隔离网。
这种攻击就是 APT（Advanced Persistent Threat），一种高级持续性的攻击模式。APT 并不特定指某种病毒，而是黑客利用先进的攻击手段对特定目标进行长期、持续性网络攻击的形式。
APT 攻击的目标，通常是高价值的企业、政府机构以及敏感数据信息。主要目的是窃取商业机密，破坏竞争甚至是国家间的网络战争。
国家和国家之间的 APT 攻击，已经变得非常可怕。斯诺登曾为美国国家安全局进行基础设施分析，他掌握了美国国家安全局大规模搜集个人信息的计划，这些计划中的黑客技术是很多安全专家都无法想象的。今天我们已经发现的震网攻击仅仅是美国 05 年的水平，安全专家说，现在的技术已经发展到即便你的电脑不插上电源线都有可能被黑客窃取到信息。
「棱镜事件」爆发后，中国已明确成为遭受国际网络攻击最严重的国家之一。
在 APT 攻击技术现状上，美国一支独秀，其他国家力量均衡。这所以形成这样的格局，是因为互联网的很多基础设施都是由美国确立的，比如基础协议、路由器、CPU 芯片和操作系统。
APT攻击数量持续上升（来源：百度百科）
攻击者的潜伏链路
直到 2012 年，火焰病毒被曝光之后，大家才明白，伊朗的核武器被攻击早在 05 年就开始潜伏了。攻击者利用微软软件在认证上的一个安全漏洞：登陆时，你必须证明你是 A，但是攻击者可以伪造出一个假的 A 身份，却不被发觉。利用这个漏洞，攻击者在中东大量散布火焰病毒，控制了中东几百万 PC 主机，收集了大量主机上的邮件、聊天等各种各样的信息。通过个人隐私信息做情报和数据的分析，最终锁定其中十～二十台设备。
这些设备是伊朗核物理研究人员的家人，黑客就锁定这些设备发起密集攻击，一旦这十多台主机当中有一个 U 盘接入，震网病毒就会散入到这个 U 盘当中。如果这个 U 盘被工作人员带回到物理隔离的主机上，震网就会利用系统漏洞，控制主机。
黑客修改了核电站离心机的转速，比如原来正常是 30 转，改成 60 转，但是给工作人员显示的还是正常转速，工作人员根本不知道是什么原因导致的，最终伊朗核电计划五分之一的离心机报废。直到 12 年，病毒偶然在 U 盘上被发现，才使得整个攻击事件曝光，阻断了攻击链条。
传统的安全产品是没有办法阻挡这些专业未知的攻击。APT 攻击是长期持续性的，攻击者寻找漏洞，构造专门代码，并开发针对受害者特定环境和防御体系的特种木马。这些特定代码都是防护者或防护体系所不知道的未知威胁。
进入云计算时代，APT攻击更容易借助云拓展。云与安全也成为矛与盾的关系，将数据聚集在云端，则被攻击的风险更高。同时，安全专家通过云，掌握的数据更多，则更容易发现安全隐患，追踪黑客。最近国内阿里巴巴并购安全公司瀚海源，百度收购安全宝，都与旗下云业务安全问题密切相关。
病毒发现时，为时已晚
在APT型攻击中，攻击者很聪明，他们有针对的目标，在攻击的时候只针一个攻击目标，避免大量散播。当病毒被发现的时候，攻击往往已经发生好多年，攻击者把该拿走的信息都拿走了。
另一起可怕而相似的攻击是在 2013 年，韩国农协银行。当时农协银行将 IT 系统外包给 IBM，IBM 的一位施工人员在午间休息时获取了一个免费电影链接，晚上就用自己的电脑看电影。据说这个链接是由朝鲜黑客制作的，IBM 员工把电脑上的病毒传染给了银行 IT 系统，黑客近而侵入农协银行 2 个月。2 个月的时间里，黑客不仅破坏银行正在运行的 IT 系统，还破坏了全部数据副本。最终农协银行系统瘫痪，全部数据都丢失。一部分纸质数据通过人工上传回系统，而网上交易数据已经永远无法找回，农协银行不得不停业 3 天，在后期赔偿中付出了巨大的代价。
现在，APT 攻击已经逐步受到了整个业界的重视，在中国也发生了一个案例。13 年 12 月底，一次 APT 攻击被成功捕获，当时黑客向国内政府机构的办公人员发放钓鱼邮件。邮件发件人以「2014 年中国经济形势解析高层报告组委会」的标题发出，如果政府工作人员用 WPS 打开文件，就会被感染病毒，而且这种病毒无法被杀毒软件查杀。攻击者就是利用 WPS 版本 0DAY 漏洞试图侵入政府办公人员电脑。
当这个攻击被发现时，攻击者在 2 个小时内就快速把控制端的服务器停掉。这说明攻击者时一个非常专业的组织，非常了解国内谁在做安全防护，黑客快速撤退让后期取证变得非常艰难。表面上看，这次攻击被快速地阻断。
但是攻击者始终存在，他们不会因为一次阻断而消失，并会采用全新的招法再次发起攻击。
面对这种涉及到国际、机密信息的安全对抗，本质上是人和人在智力知识和情报体系上的相拼。攻击者是高智力的人，是专业有知识有组织的黑客。攻击者往往对被攻击者深入了解，知道有价值的资产在哪里，对方的系统构成是怎样的，对方的组织架构是怎样的，而且往往通过人员的组织架构渗透完成攻击。
网友关于携程网安全问题微博。携程安全问题已经不止出现一次，而前不久的数据泄漏成为安全业界讳莫如深的话题。有传言是竞争对手导致，或者员工肆意报复。但在云计算时代，信息被更多地聚集到&母体&，我们是否要更多反思自己是否给了黑客可乘之机？
2014 年 12 月，在国内云平台阿里云上也被检测到一起攻击。通过对整个攻击进行情报追踪分析，发现攻击者的攻击面已经非常大，遍及三万多台主机，阿里云和国外的云平台都成为被攻击的对象。黑客控制这些主机的目的就是窃取特定国家的公民隐私，60 万个国家公民的信息已经被窃取。
安全专家锁定到的攻击者个人主页。
通过对攻击者控制的木马病毒监控追踪，发现了攻击者用来进行内部通讯的一个 IRC 服务器，最终在互联网上锁定这次攻击的黑客组织，这一组织从 2000 年成立，十年间攻击了大量政府的网站。直到 2014 年 10 月份，通过这次大规模攻击，他们掌握了大量的资源，在一些黑客地下论坛开始招募成员。从攻击者窃取的公民信息看，他们的背景可能有 2 种，第一是国家政府的行为，为的是收集更多国家的个人信息。第二种可能就是黑色的地下产业链，比如诈骗集团，为了获取高机密的金融信息。
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页440被浏览16210分享邀请回答317 条评论分享收藏感谢收起6910 条评论分享收藏感谢收起查看更多回答天极传媒：天极网全国分站
您现在的位置：
ISACA调查称目前95%的APT攻击来自社交网站
Yesky天极新闻
作者：天极新闻
责编：杨玲
　　【天极网IT新闻频道】【Yesky新闻频道消息】国际信息系统审计协会(ISACA)近日公布了一份2015年APT攻击报告，称目前95%的APT攻击来自社交网站。
　　报告针对全球661名取得CISM认证的信息安全专家进行调查显示，其中有74%的受访者认为他们是被APT攻击锁定的对象，28%的受访者认为他们已经遭受到一次以上的APT攻击，67%的受访者表示他们已经做好应对APT攻击的准备。
ISACA调查称目前95%的APT攻击来自社交网站
　　APT（Advanced Persistent Threat）指高级持续性威胁，指攻击者利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高端和先进，其高端性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。
　　报告显示，APT攻击的切入点从最早是网络钓鱼，后是包含恶意软件或恶意网址的钓鱼邮件，最近三年转向到以社交网络作为主要锁定攻击的入侵点。报告指出，2015年有95%的APT攻击来自于社交网络，比2014年的92%增加3%。另外，有28%的受访者表示他们已经明确遭受到一次以上的APT攻击，其中25%的受访者是高科技与咨询顾问服务业，有19%则是政府或军事部门人员，其他有65%的受访者有能力识别攻击来源。
ISACA调查称目前95%的APT攻击来自社交网站
　　同时该调查显示，有75%的受访者并没有和第三方信息安全公司或相关公司合作提高防御APT相关攻击的能力，不过已经有53%的受访者表示自己公司已经提高信息安全相关的投资，61%的受访者表示公司的领导阶层已经意识到的重要性，愿意在更多法 规遵循的议题上投入和强化，更有80%受访者指出资深的公司高层则愿意投入更多资源，作为应对APT攻击的第一步。
　　调查显示APT攻击对企业带来最主要的前5项威胁分别是：员工或客户个人资料的外泄、商业信誉损失、知识产权损失、有形财务损失，合约损失或法规遵循带来的损失等。
　　关于企业应对PT攻击方面，调查显示有95%的受访者采用防毒和防恶意软件对抗APT攻击，其次使用的防御继续依序为：、和交换器等网络技术;Log监控与事件关联分析;IPS系统;信息安全意识提升与信息安全教育训练等。
　　有关评估企业有否因应APT攻击的能力方面，从该份调查报告显示，2014年有75%受访者认为该公司缺乏适当的APT防御方针，但在2015年只有 66%的企业认为该公司缺乏APT的防御方针。分析称过去一年来有许多对于APT攻击意识提升的宣传让更多人意识到有APT攻击的存在，但即便如此，APT攻击还是很容易和传统的信息安全威胁混淆，只有67%的受访者可以明确分辨APT攻击和传统信息安全威胁的区别，有51%的受访者则表示APT攻击和传统的信息安全威胁没有不同。
（作者：天极新闻责任编辑：杨玲）
IT新闻微信公众平台
第一时间获取新鲜资讯
使用手机扫描左方二维码
您可能想看的内容
看过本文的人还看过
大家都在看
* 网友发言均非本站立场，本站不在评论栏推荐任何网店、经销商，谨防上当受骗！
高通与小米、OPPO和vivo三家中国手机制造商签订了非约束性采购意向…
据了解，QQ-AR开放平台具有零技术门槛、无需额外下载应用、稳定成熟三…
对于“巨硬”粉丝而言，在经历了着急的等待之后，今天终于迎来这款笔记本的…
三星S8枫叶红版本可能只会在韩国销售，所以国行版本可能不会迎来这一配色…
今年的天猫双11狂欢夜晚会我们将完全脱胎于一个晚会的定义，或者是购物晚…
所以，苹果已经提前给消费者打好“预防针”，修改了其产品声明。
在2017东软解决方案论坛之际，记者与东软集团总裁杨纪文就车联网行业做…
iPhone X刚上市不久，美国各大社交平台上就出现了无法激活的信息。
作为iPhone十周年纪念版产品，如果你说值不值得买，那么我的答案是值…
天极网IT新闻汇：美国社交平台上大量出现了iPhone X无法激活的信…
今年的天猫双11狂欢夜晚会我们将完全脱胎于一个晚会的定义，或者是购物晚…
近日有媒体报道，易到已于近日完成股权变更，已向司机开放了线上提现。
天极网IT新闻汇：微信支付宣布，自日起，微信还信用卡…
锤子手机宣布将于11月7日在成都大魔方演艺中心召开锤子2017年秋季新…
昨天开始陆续有用户收到微信最新版本6.5.21更新提醒，新版本已适配i…
每日IT极热如何正确迈出对付APT攻击的第一步 - CSDN博客
如何正确迈出对付APT攻击的第一步
对付APT攻击，&必须侦测看不见的东西
如果你还没有尝试过“APT攻击游戏”，记得去试试。不过，看过几段文章之后，你会得出以下结论：那些想进行“高级持续性威胁”（Advanced Persistent Threat，以下简称APT攻击）的人不会照着预期的规则走，想赢得这场“游戏”，你必须要能够侦测某些你原本看不见的东西。
首先，如同游戏中所描述，攻击者类型是不可预测的，如果他们可以被预测，那我们完全就可以投资我们所需要的安全防御，然而，侦察、规划、遁形和保持不被侦测是现代攻击者的攻击手法。你的潜在敌人了解你的企业、网络、防御措施、员工、供应链以及任何与你有互动关系的组织，如此透彻的了解就是为了更好地躲避你的防御措施，获得你的数据并从中获利。最近出现在新闻上的资料外泄事件就是这类无法预测行为的攻击，其规模和范围都非常大且更加严重。在很多情况下，回报要远远地大于风险，侦测的机会就更渺小了。
3D眼镜作用在于任何人只要戴上了这对“红、蓝”镜片，马上就能注意到更加深入和全面的视角，平面的东西突然变得立体；二维事物变得可以互动。想这一点，我认为最好侦测和应对攻击的办法就类似3D眼镜，这代表你要有能力去看到原本看不见的东西，要能够深入了解与信息互动，否则你会错失掉信息，这么做的目的是要能侦测到隐藏的攻击者，那么，怎样可以做到？
现在就是值得信赖的动作运动探测器出现的时候，请原谅我先跳到不同却有相关的情境。很多人都会在家中安装家庭安全系统，大多数的家庭安全系统都能够监控到你家的进、出口点，然而，即使有了家庭安全系统，你也会安装运动探测器在家里。如果所有家庭周边都被监视了，为什么还要浪费时间去监视家里面？
原因很简单：只依赖周边探测器去监视家里是否被入侵并不管用，只是虚假的安全感。多层次防御被用来探测可疑和恶意的行为，这是大家都认为理所当然的做法。
有鉴于此，你若要探测和应对APT攻击仅仅监控进出你网络的流量就可以吗？只去监控你的网页和电子邮件流量有意义吗？攻击者不会遵守这规则也不会那么简单的。
APT攻击游戏的情节是通过现实攻击的情形来设定，为了解决问题，你需要的是一套正确的3D眼镜和运动探测器，让你可以监控任何发生在网络内看不见的破坏性活动。
为了说明这一点，我将场景再转到现实，每天有多少笔记本电脑、智能型手机、iPad或其他设备进出你公司的大门？有些设备是否有可能已经受到攻击，而将攻击者带到了你的大门呢？而且，你是否可以肯定地说每个正在访问你的网络的承包商、员工、供货商、客户或其他个人及组织都是用合法账号并且使用安全的设备？这两个问题应该可以让你了解到仅仅监控周边及几个进入点，只是避免攻击的第一步。
希望本文有助于说明检测的优点，最起码任何恶意的活动都能够被察觉。你需要全方位地监控所以网络流量通过所有网络端口，利用定制化沙盒技术来检视超过一百种的协议和应用程序。因为不幸的是，任何未被检测的事物都会被无情且坚持的敌人利用。
本文已收录于以下专栏：
相关文章推荐
Creating a Game Concept: The First Step in Getting Your Game off the Ground
从游戏概念开始：迈出游戏开发的第一步
为了简单起见，例子没有没有使用任何第三方的AOP Framework, 而是利用Java语言本身自带的动态代理功能来实现AOP.　　让我们先回到AOP本身，AOP主要应用于日志记录，性能统计，安全控制...
所有准备开始创业的人都会遇到一个相同的问题：何时迈出第一步？这个命题不会有标准答案。但是否真正做好了准备，却往往是决定创业成败的关键。
想干就干的激情创业
赵琳原来的工作是保险经纪，“工作不稳定，...
从昨天开始再次折腾iphone开发,今天终于基本搞定了.问题出在我是用虚拟机安装 Mac OS X Lion+xcode,所以问题较多.一开始我是想单独安装mac os,然后再下载xcode安装,可惜...
python可以做很多复杂的工作，我们以Fibonacci作为例子(我发现大家都喜欢拿他做例子)：
原谅我实在不咋想继续用交互界面的，虽然这是个亮点。。。从这个例子里我们能看到几个新特性，在...
2015 年 7 月 12日 21 ：24分，离我从七月十号出发已经过去近50个小时，这是第一次真正在没有大腿的情况下，一个团队独立开发一个游戏，并且还算成功。
着过去的四十八小时，如果仅仅算比赛时间...
注：以下写作风格均学习自潘云登前辈
/******************************************************************/
要比赛了，逼自己一把咯~
他的最新文章
讲师：何宇健
讲师：董岩
您举报文章：
举报原因：
原文地址：
原因补充：
(最多只允许输入30个字)可能感兴趣
网络安全防御在线课堂
EHS在线网校
海外风险与差旅安全培训
保密与信息安全意识培训
安全意识微博
电子课件设计制作服务
消防安全与EHS教学课件
安全意识微信二维码