袁 藝 辛 超 向 堅(jiān)

APT——更高的威脅？

袁 藝 辛 超 向 堅(jiān)

內(nèi)容提要：高級(jí)持續(xù)性威脅（APT）是當(dāng)前滲透力和隱蔽性最強(qiáng)的網(wǎng)絡(luò)攻擊形式，對(duì)網(wǎng)絡(luò)安全構(gòu)成了嚴(yán)重威脅。本文通過剖析高級(jí)持續(xù)性威脅的主要特點(diǎn)、攻擊機(jī)理，提出了強(qiáng)化用戶安全意識(shí)、對(duì)用戶行為進(jìn)行信譽(yù)評(píng)級(jí)、重視分析網(wǎng)絡(luò)傳出流量、嚴(yán)格管控關(guān)鍵網(wǎng)絡(luò)終端、經(jīng)常實(shí)施攻擊測(cè)試、長(zhǎng)期跟蹤分析、運(yùn)用新型網(wǎng)絡(luò)安全技術(shù)等應(yīng)對(duì)高級(jí)持續(xù)性威脅的技術(shù)手段和措施。

關(guān)鍵詞：軍事情報(bào) 信息技術(shù) 高級(jí)持續(xù)性威脅 網(wǎng)絡(luò)攻擊 ［APT］

作者：袁藝，軍事科學(xué)院作戰(zhàn)理論和條令研究部博士后，上校；辛超，61906部隊(duì)司令部參謀，上尉；向堅(jiān)，軍事科學(xué)院院務(wù)部警勤連連長(zhǎng)，中尉

隨著信息技術(shù)尤其是網(wǎng)絡(luò)技術(shù)在軍事領(lǐng)域的廣泛運(yùn)用，制網(wǎng)絡(luò)權(quán)逐漸成為敵對(duì)雙方相互爭(zhēng)奪的焦點(diǎn)。以計(jì)算機(jī)病毒為代表的網(wǎng)絡(luò)戰(zhàn)武器越發(fā)受到人們的青睞。APT就是在這種環(huán)境下“撲面而來”的。

何方神圣

APT是“高級(jí)持續(xù)性威脅”（Advanced Persistent Threat）英文的首字母縮寫，具體是指組織（特別是政府）或者小團(tuán)體使用先進(jìn)的網(wǎng)絡(luò)攻擊技術(shù)和手段，對(duì)國(guó)防、能源、電力、金融等關(guān)系到國(guó)家核心利益或國(guó)計(jì)民生的關(guān)鍵業(yè)務(wù)網(wǎng)，進(jìn)行長(zhǎng)期持續(xù)性滲透攻擊的一種網(wǎng)絡(luò)攻擊形式。APT具有三個(gè)基本特征。

一是威脅的水平很高級(jí)。APT攻擊者絕不是民間閑來無事進(jìn)而炫耀技術(shù)的黑客，也不是只為攫取經(jīng)濟(jì)利益的網(wǎng)絡(luò)犯罪分子，而是由政府或組織資助、支持的團(tuán)隊(duì)，甚至直接就是隸屬于某個(gè)政府或組織的秘密部門。攻擊者通常都有一個(gè)精心策劃、構(gòu)思縝密的特定攻擊策略，并充分利用包括病毒、木馬、網(wǎng)絡(luò)釣魚、社會(huì)工程學(xué)等在內(nèi)的各種技術(shù)和非技術(shù)手段。APT攻擊具有明確的目的性和針對(duì)性，其攻擊對(duì)象是政府部門、國(guó)際組織、大型企業(yè)等高價(jià)值目標(biāo)，而不是一個(gè)無關(guān)緊要的普通網(wǎng)民。

二是威脅具有可持續(xù)性。如前所述，由于APT攻擊對(duì)象通常是防護(hù)嚴(yán)密的內(nèi)部網(wǎng)絡(luò)，攻擊者在攻擊觸發(fā)前，會(huì)進(jìn)行為期幾個(gè)月甚至數(shù)年的精心準(zhǔn)備，反復(fù)運(yùn)用各種黑客技術(shù)或社會(huì)工程學(xué)手段，從目標(biāo)網(wǎng)絡(luò)相對(duì)容易著手的“邊界”開始滲透，逐步熟悉目標(biāo)網(wǎng)絡(luò)環(huán)境，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全漏洞，刺探定位關(guān)鍵信息的存儲(chǔ)位置與通信方式，一旦時(shí)機(jī)成熟，就會(huì)發(fā)動(dòng)關(guān)鍵一擊，實(shí)施破壞或竊取重要情報(bào)，需要時(shí)也可長(zhǎng)期潛伏，持續(xù)獲取情報(bào)。當(dāng)然，這種“可持續(xù)性”并不否認(rèn)攻擊者會(huì)采取多點(diǎn)入侵方式，并采用自動(dòng)化的專業(yè)攻擊程序，以提高攻擊速度和成功率，盡快達(dá)成攻擊目的。

三是隱蔽性極強(qiáng)。APT攻擊者通常是利用目標(biāo)網(wǎng)絡(luò)中受信任的應(yīng)用程序漏洞來形成所需攻擊路徑，并借助僵尸網(wǎng)絡(luò)以掩蓋攻擊源。攻擊程序還會(huì)不斷重新編譯和利用加密來逃避檢測(cè)，盡可能以假亂真，在合法流量的掩蓋下行動(dòng)，以至于許多網(wǎng)絡(luò)安全設(shè)備和軟件根本無法分辨出來。

經(jīng)典案例

APT雖然尚處于“幼年期”，但卻早已是“熟悉的陌生人”。很多著名的網(wǎng)絡(luò)攻擊案例中都能找到它的影子。

“震網(wǎng)”病毒攻擊伊朗核設(shè)施就是APT攻擊的代表作?！都~約時(shí)報(bào)》曾稱，“震網(wǎng)”是“迄今為止，最復(fù)雜的網(wǎng)絡(luò)武器，其目的是破壞別國(guó)基礎(chǔ)設(shè)施”。著名的計(jì)算機(jī)代碼分析專家郎格爾也認(rèn)為，“震網(wǎng)”是一個(gè)異常高級(jí)的計(jì)算機(jī)病毒，僅用于實(shí)現(xiàn)控制功能的代碼量就高達(dá)1.5萬行，開發(fā)這樣的病毒必須舉一國(guó)甚至幾國(guó)之力并花費(fèi)數(shù)年時(shí)間才能完成，僅憑幾個(gè)黑客要想開發(fā)這種病毒無異于癡人說夢(mèng)?！罢鹁W(wǎng)”病毒是一個(gè)智能化的主體，它可以利用眾多的全新漏洞，通過潛伏在U盤中進(jìn)行傳播，無須聯(lián)接互聯(lián)網(wǎng)，便可在工廠內(nèi)部計(jì)算機(jī)系統(tǒng)之間穿行。只要電腦操作員將被病毒感染的U盤插入U(xiǎn)SB接口，這種病毒就會(huì)在不需要任何操作的情況下，取得電腦系統(tǒng)的控制權(quán)，這使得“震網(wǎng)”病毒的潛伏和傳播都具有極佳的隱身性。據(jù)美國(guó)國(guó)家實(shí)驗(yàn)室一項(xiàng)秘密評(píng)估稱，“震網(wǎng)”在對(duì)伊朗核設(shè)施實(shí)施攻擊前已經(jīng)潛伏在其核程序中達(dá)兩年之久。

2012年5月，一種名為“火焰”的病毒瘋狂來襲，一時(shí)震驚全球。其實(shí)，“火焰”病毒也是APT家族中的重要一員?！盎鹧妗辈《臼且环N后門程序和木馬病毒，同時(shí)又具有蠕蟲病毒的特點(diǎn)，它的部分特征與“震網(wǎng)”病毒相似，但結(jié)構(gòu)更復(fù)雜、危害更大?！盎鹧妗辈《疚募純?nèi)存達(dá)20兆，其代碼打印出來的紙張長(zhǎng)度可達(dá)2400米，程序代碼量是“震網(wǎng)”病毒的20倍、普通商業(yè)信息盜竊病毒的100倍，包含大約20個(gè)程序模塊。如此多的代碼用緊湊的編程語言進(jìn)行編寫，可便于更好地隱蔽，并已經(jīng)成功規(guī)避100多種殺毒軟件的查殺。國(guó)際電信聯(lián)盟向聯(lián)合國(guó)成員國(guó)發(fā)出警告，稱“火焰”病毒是迄今最為強(qiáng)大的間諜工具。政府機(jī)構(gòu)、大型企業(yè)的電腦系統(tǒng)一旦被感染，將迅速蔓延，面臨機(jī)密信息泄露的風(fēng)險(xiǎn)。據(jù)了解，這種神秘病毒的危害程度超過了已知的其他任何一種電腦病毒，可實(shí)施包括檢測(cè)網(wǎng)絡(luò)流量、截獲屏幕畫面、記錄音頻對(duì)話、截獲鍵盤輸入等一系列復(fù)雜行動(dòng)，被感染系統(tǒng)中所有數(shù)據(jù)都能通過鏈接傳到病毒指定的服務(wù)器，讓操控者一目了然。

此外，以谷歌和其他大約20家大公司為目標(biāo)的“極光”攻擊，針對(duì)美國(guó)政府、聯(lián)合國(guó)、國(guó)際紅十字會(huì)等組織，以及軍工企業(yè)、能源公司、金融公司等企業(yè)的ShadyRAT攻擊等，也都是APT攻擊的典型案例。

如何應(yīng)對(duì)

由于APT的復(fù)雜性和多樣性，傳統(tǒng)的嚴(yán)控網(wǎng)絡(luò)邊界的防御方法效果甚微，必須采取新的防御策略，擴(kuò)大防御縱深，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的安全防護(hù)。

一是強(qiáng)化用戶安全意識(shí)?！澳悴荒茏柚褂薮佬袨榘l(fā)生，但你可以對(duì)其加以控制?！焙芏郃PT攻擊往往通過引誘用戶點(diǎn)擊他們不應(yīng)理會(huì)的鏈接侵入網(wǎng)絡(luò)。限制沒有經(jīng)過適當(dāng)培訓(xùn)的用戶使用相關(guān)功能，能夠降低整體安全風(fēng)險(xiǎn)，這是一項(xiàng)需要長(zhǎng)期堅(jiān)持的措施。

二是對(duì)用戶行為進(jìn)行信譽(yù)評(píng)級(jí)。傳統(tǒng)網(wǎng)絡(luò)安全解決方案采用的，是判斷行為“好”或“壞”進(jìn)而“允許”或“攔截”之類的策略，而APT攻擊在開始時(shí)偽裝成合法流量進(jìn)入網(wǎng)絡(luò)，得逞后再實(shí)施破壞。因此，需要對(duì)用戶行為進(jìn)行跟蹤，并對(duì)其進(jìn)行信譽(yù)評(píng)級(jí)，以確定其合法性。

三是重視分析網(wǎng)絡(luò)傳出流量。傳統(tǒng)的網(wǎng)絡(luò)防御重視通過分析判斷傳入流量，以防止和攔截攻擊者進(jìn)入內(nèi)部網(wǎng)絡(luò)，這對(duì)于截獲某些攻擊還是有效的，但對(duì)于APT，傳輸流量則更具危險(xiǎn)性。如能有效監(jiān)控分析網(wǎng)絡(luò)傳出流量，更易于檢測(cè)到異常行為，并對(duì)機(jī)密信息的外泄實(shí)施攔截。

四是嚴(yán)格管控關(guān)鍵網(wǎng)絡(luò)終端。攻擊者通常只將入侵網(wǎng)絡(luò)作為跳板和起點(diǎn)，其最終目的是要竊取關(guān)鍵網(wǎng)絡(luò)終端中的數(shù)據(jù)信息。要想有效控制風(fēng)險(xiǎn)，防止核心機(jī)密信息泄露，嚴(yán)格管控網(wǎng)絡(luò)終端仍是一項(xiàng)長(zhǎng)期有效的保護(hù)措施。

五是經(jīng)常實(shí)施攻擊測(cè)試。聘請(qǐng)經(jīng)驗(yàn)豐富的黑客和技術(shù)專家，模擬不明攻擊者對(duì)內(nèi)部網(wǎng)絡(luò)反復(fù)進(jìn)行攻擊測(cè)試，從中發(fā)現(xiàn)系統(tǒng)漏洞和管理隱患，并綜合采取各種技術(shù)和管理措施進(jìn)行彌補(bǔ)，就能大大提高內(nèi)部網(wǎng)絡(luò)的安全性能。

六是進(jìn)行長(zhǎng)期跟蹤分析。這是應(yīng)對(duì)APT攻擊“持續(xù)性”的有效方法。對(duì)于關(guān)鍵業(yè)務(wù)部門或單位，在網(wǎng)絡(luò)安全記錄審查方面，除日?qǐng)?bào)、周報(bào)、月報(bào)外，時(shí)間更長(zhǎng)的季報(bào)甚至年報(bào)所呈現(xiàn)出來的攻擊趨勢(shì)更為重要。APT攻擊絕不是一次偶然或孤立的單一事件，應(yīng)對(duì)盡可能長(zhǎng)的網(wǎng)絡(luò)安全記錄進(jìn)行持續(xù)跟蹤觀察，從中捕捉發(fā)現(xiàn)APT攻擊的蛛絲馬跡。

七是采用新型網(wǎng)絡(luò)安全技術(shù)。當(dāng)前，網(wǎng)絡(luò)安全技術(shù)也在不斷發(fā)展，“云安全”技術(shù)就是防御APT攻擊的一種重要手段。傳統(tǒng)的網(wǎng)絡(luò)實(shí)時(shí)監(jiān)測(cè)和管理工具，都是針對(duì)不同的網(wǎng)絡(luò)平臺(tái)，因?yàn)橐獙彶樗惺录腿罩就瘦^低，這就給了攻擊者更多的時(shí)間和機(jī)會(huì)實(shí)施入侵。如果利用“云安全”架構(gòu)，將各種網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施統(tǒng)一管理，并將網(wǎng)絡(luò)安全報(bào)表和日志整合起來進(jìn)行系統(tǒng)分析，能大大提高對(duì)APT攻擊的發(fā)現(xiàn)概率。

當(dāng)前，APT已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)熱詞。由于它并非小打小鬧，一旦攻擊成功便會(huì)造成嚴(yán)重的危害和損失，從而對(duì)被攻擊國(guó)家的網(wǎng)絡(luò)安全構(gòu)成嚴(yán)峻挑戰(zhàn)，因此愈發(fā)引起世界各國(guó)的廣泛關(guān)注。

如果說每一次敲擊鍵盤就等于擊發(fā)一顆子彈，每一塊CPU就是一架戰(zhàn)略轟炸機(jī)的話，那么，實(shí)施APT攻擊就好比在網(wǎng)絡(luò)領(lǐng)域發(fā)動(dòng)核攻擊。鑒于其巨大的作戰(zhàn)運(yùn)用潛力和極強(qiáng)的計(jì)算機(jī)網(wǎng)絡(luò)破壞力，在不久的將來，APT必將成為一個(gè)異?；鸨拿餍?，在網(wǎng)絡(luò)領(lǐng)域勇?lián)叭鍪诛怠钡慕巧?/p>

（責(zé)任編輯：何 荷）

簡(jiǎn) 訊

山東省高唐縣定向招聘退伍大學(xué)生

近兩年，山東省高唐縣通過定向招聘，有36名退伍大學(xué)生經(jīng)過層層選拔，順利錄用到事業(yè)單位，占報(bào)考人數(shù)的35.3%。該縣人武部以“拓寬退伍大學(xué)生的就業(yè)渠道”為重要抓手，同縣委、縣政府聯(lián)合制定了《高唐縣高校畢業(yè)生退役士兵優(yōu)待安置暫行辦法》。每年公開招聘事業(yè)單位工作人員時(shí)，預(yù)留崗位定向招聘三年內(nèi)退伍的大學(xué)生士兵，并對(duì)高學(xué)歷、立功、優(yōu)秀士兵、任班長(zhǎng)職務(wù)、參加重大平暴和救災(zāi)行動(dòng)的，給予相應(yīng)的加分。報(bào)考人員通過筆試、資格審查、面試、體檢和政審后，按照總成績(jī)擇優(yōu)錄用，得到用人單位和退伍大學(xué)生的一致好評(píng)。該舉措為進(jìn)一步做好新形勢(shì)下征兵工作創(chuàng)造了條件。

（李澤新 陶玉棟）

中圖分類號(hào)：E9

文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：ISSN1002-4484（2015）04-0079-03