APT攻擊，揮之不去的隱憂

文／周 磊

9月11日，第九屆國家網絡安全宣傳周落下帷幕，APT（高級持續性威脅）攻擊依舊成為熱詞。宣傳周期間，國家計算機病毒應急處理中心發布了《西北工業大學遭美國NSA網絡攻擊事件調查報告》，曝光了NSA下屬的特定入侵行動辦公室（TAO）對西北工業大學長期隱蔽的攻擊竊密活動，引爆了全球輿論。

另一起震驚全球的事件是，9月7日，北約成員國阿爾巴尼亞宣布與伊朗斷絕外交關系，緣由是伊朗APT組織在7月對阿國進行了大規模網絡攻擊。這是世界上第一起因網絡攻擊導致兩國斷交的事件。

APT是一種隱蔽的威脅行為體，通常是一個民主國家或國家支持的組織，未經授權訪問目標計算機網絡，并在很長一段時間內不被發現，動機通常是政治或經濟目的。其攻擊過程有八個步驟：初始突破、建立據點、權限提升、內部偵察、橫向移動、隱蔽潛伏、數據盜取、任務達成。

據統計，全球發現的APT組織超過150個，分布在美國、以色列等國。過去幾年，有50個其他背景的黑客組織，對中國的國家級網絡進行了數千次攻擊。2020年，針對中國的有13個，首次披露了4個，如魔鼠、藍色魔眼和旺刺等。2021年上半年，針對我國的APT組織有12個，首次發現的2個為蕪瓊洞、偽獵者。

攻擊領域廣泛，規模龐大；攻擊目標多樣，全域覆蓋；攻擊技術先進，手法復雜。這是APT組織攻擊的典型特征。當前，攻擊手段多樣化、復雜化、融合化、勒索化的特征更為明顯，零Day漏洞利用、網絡釣魚、AI欺騙、虛假錯誤信息擾亂，甚至供應鏈攻擊、假冒產品植入、內部人員威脅等，不斷有新型手段出現。勒索化APT不容小覷。據統計，已有43個APT組織采用勒索軟件攻擊套路。

APT組織攻擊的目標對象，從行業來看，能源、交通、金融、科技、醫療等無不涉及。備受關注的伊朗APT33，熱衷的目標是石油供應鏈，歐洲、亞洲的石油公司以及關聯的上下游企業，在2018、2019年均遭受攻擊。

APT攻擊的防御是當前網絡空間安全對抗的焦點和難點，也是國家政治、經濟、外交、軍事、科技等實力對抗的前沿。傳統的病毒對抗、保密對抗、惡意代碼對抗、安全風險對抗，已無法遏制和威懾APT組織的攻擊態勢，迫切需要突破單純技術對抗、威脅情報對抗、網絡能力對抗的局限，應著力構建體系對抗、情報對抗、人力對抗、文化對抗的綜合態勢。

體系對抗，是APT對抗的典型屬性，是系統思維的運用和系統工程的實踐。這可簡單理解為國家/組織資源體系之間的全面對抗。這類資源包括經濟、政治、外交、科技、媒體和軍事等資源。

情報對抗，顛覆戰術型網絡威脅情報對抗的局限，把網絡情報、信號情報、人力情報等要素納入綜合對抗范疇，賦能APT對抗情報能力。這是國家間網絡空間安全對抗的必然選擇。

人力對抗，以人為核心的網絡安全，即人是網絡安全的最大變量。這是組織和企業應當積極倡導的重要理念。網絡空間安全對抗，實則是攻防兩端人的對抗。這是APT對抗的本質。培養和提升網絡安全人才，是厚實對抗實力的關鍵。

文化對抗，網絡安全文化，應當是企業文化的有機組成部分。組織、員工正是這種網絡安全文化的載體。技術、設備、人員更替勢不可當，唯有內化于心、外化于行的生生不息的文化力量綿延傳承。這是網絡空間安全對抗的終極形態。