Fork me on GitHub

2017中国高级持续性威胁(APT)研究报告读后感

研究情况

首先,从对APT攻击的分析角度来说,美国处于全球领先的地位,中国位居第二。这一现状使我感觉到综合国力的重要性,其安全意识的强弱也决定了谁在网络的战场上更加有话语权,我个人也更加希望国内各界都能把网络安全放在一个极高的地位,毕竟没有网络安全就没有国家安全,有价值存在的地方就应该有安全防护。

国内

国内做APT相关研究的公司只有四家: 360微步在线安天腾讯

我认为就样本数量而言,360和腾讯两家占据了国内PC用户“电脑管家”的半壁江山,因此如果有恶意样本的涌入的话,这两家在发现恶意样本时是有绝对的时间优势和数量优势,安天的安全服务面比较广,可能会接触到一些比民用层面更有价值的恶意样本。但是综合四家厂商,我觉得国内或者说全球的APT攻击的研究和学习都是在与黑客的博弈中不断进步的,所以我觉得各家安全厂商的实力会随着研究时间的增多提升分析经验,来达到更高的水平。

国外

美国有很多的安全厂商做APT攻击的研究工作再次就不一一列举了。

不禁感叹美国的网络实力的强大,无论是黑客大会的影响力还是安全厂商的个数等等,美国始终是处于一个国际领先的地位,而且个人感觉相比国内,美国黑客似乎更乐于研究,许多事情他们感兴趣就回去做,也不会考虑所作的对于他们带来的收益或者回报,大概这就是真正的geek精神,可能这也在另一方面证实了美国人的生活水平高吧(滑稽脸),做研究不必担心研究不出成果而没饭吃(贫穷脸)。

APT攻击对象&攻击目的

2017年,APT组织最为关注的机构类型是政府,50%的APT组织以政府为攻击目标;其次是能源行业,受到 25%的APT组织关注。排在APT组织攻击目标前十位的重要领域还有金融、国防、互联网、航空航天、媒体、电信、医疗、化工等。

2017年,遭到APT攻击最多国家依次是:美国、中国、沙特阿拉伯、韩国、以色列、土耳其、日本、法 国、俄罗斯、德国、西班牙、巴基斯坦和英国这13国家。

APT攻击对象呈现的整体特点是“利益驱动”,说白了就是黑客会攻击价值高的对象,像遭受APT攻击最多的国家排名顺序来说,受攻击国家一般经济情况较好,或者是在政治上有一些利用价值或者攻击价值,攻击的目标一般是高收益产出型或者是高新技术型的企业和机构。从另一方面来说,APT的攻击或者是受攻击国家对攻击来源的猜测已经成了一种外交手段,因而研究APT成了一种比较深层次的研究,而不仅是停留在技术层面。

思考

我认为无论是什么攻击手法,黑客能够屡屡得手的终极原因还是因为目标人群的安全意识的不足,就APT攻击的目标人群来说,一般不会牵涉上老人或者孩子等一般情况下接触不到黑客感兴趣的对象的目标群体(电信诈骗除外,不属于APT),一般的目标人群是政府或者企业等具有一定效益的机构内的青年工作者或者是中年工作者,即使就黑客攻击目标人群的年龄上看,青年人和中年人的安全意识和判断能力应该是人生整个阶段的鼎盛时期,但是就算是属于这个水平也使完全不足以防御APT攻击的危害的,就像一个word文档,如果黑客冒充以公司上司的身份发送给职员,职员八成不会重复的确认自己的上司的身份,因为可能这是在别人眼里看起来的一种很奇怪的行为,而且可能会影响工作效率,所以就很容易中招。从钓鱼网页来说,攻击成功的主要原因也是安全意识的不足,对一些网站的URL没有一定的敏感度。对于0day漏洞的利用来说,我觉得是整个IT界生态圈的问题,就像微软WindowsXP的0day在很早以前就在暗网出售或者像美国国家安全局发现0day但是为了日后的利益而对消息进行保密工作,但是这时由于微软并不知道漏洞的细节而无法及时给出安全补丁,一旦东窗事发,影响的群体必然庞大造成的后果也不堪设想,但是nday漏洞却依然能发挥攻击的作用,因为大家中并没有在意一些软件或者系统的安全更新,有的人甚至认为更新是软件厂商的一种流氓行为,这也不得不引出国内一些软件的素质现状,和例如很多的APP都会向系统请求一些与软件运行根本无关的权限请求例如一些美颜app会请求访问用户通讯录的权限,这确实是一种流氓行为,我觉得从这个角度来说,国内缺乏一个对权限的限制和申请权限的标准来限制一些软件的流氓行为,而且就Windows的更新机制来说,我认为微软可以对更新内容做出批注,如功能的更新或者是安全性的更新,安全性的更新可以具有一定的强制性来保证系统的安全性,但是一些功能的更新我认为可以给用户一个选择的空间,win10的更新逻辑确实让人抓狂,三天两头进行一个小功能的更新却要花费3个小时或者更多的时间,而且更新之后也会占用C盘很大的空间,会影响磁盘的寿命,这对我这种磁盘转速只有5400转的人就可以说是十分不友好了,可能这也是造成很多人不愿意及时进行系统更新的原因,而且据我个人了解和日常生活经验,像军队和医院等机构的电脑系统一般是winxp或者win7,而且可能由于很多部署好的服务不能下线因此无法完成更新,像军方的电脑做了网络隔离因此根本无法进行更新,因而很多年前就被曝光的漏洞依然存在与这些与世隔绝的电脑上,这些计算机一旦出现与外界数据交互的机会,造成的危害也是十分巨大的。

因而我觉得在这个大环境下有一些点是要我们每个人注意的:

  • 保持系统固件或者是重要软件的及时更新
  • 在一些内部环境中可以使用特定的内部通讯软件,并对通信做强认证
  • 不轻易打开邮件中的附件,对一些链接保持警惕性
您的支持是我最大的动力🍉