袁 藝 辛 超 向 堅

APT——更高的威脅？

袁 藝 辛 超 向 堅

內(nèi)容提要：高級持續(xù)性威脅（APT）是當前滲透力和隱蔽性最強的網(wǎng)絡攻擊形式，對網(wǎng)絡安全構(gòu)成了嚴重威脅。本文通過剖析高級持續(xù)性威脅的主要特點、攻擊機理，提出了強化用戶安全意識、對用戶行為進行信譽評級、重視分析網(wǎng)絡傳出流量、嚴格管控關(guān)鍵網(wǎng)絡終端、經(jīng)常實施攻擊測試、長期跟蹤分析、運用新型網(wǎng)絡安全技術(shù)等應對高級持續(xù)性威脅的技術(shù)手段和措施。

關(guān)鍵詞：軍事情報 信息技術(shù) 高級持續(xù)性威脅 網(wǎng)絡攻擊 ［APT］

作者：袁藝，軍事科學院作戰(zhàn)理論和條令研究部博士后，上校；辛超，61906部隊司令部參謀，上尉；向堅，軍事科學院院務部警勤連連長，中尉

隨著信息技術(shù)尤其是網(wǎng)絡技術(shù)在軍事領(lǐng)域的廣泛運用，制網(wǎng)絡權(quán)逐漸成為敵對雙方相互爭奪的焦點。以計算機病毒為代表的網(wǎng)絡戰(zhàn)武器越發(fā)受到人們的青睞。APT就是在這種環(huán)境下“撲面而來”的。

何方神圣

APT是“高級持續(xù)性威脅”（Advanced Persistent Threat）英文的首字母縮寫，具體是指組織（特別是政府）或者小團體使用先進的網(wǎng)絡攻擊技術(shù)和手段，對國防、能源、電力、金融等關(guān)系到國家核心利益或國計民生的關(guān)鍵業(yè)務網(wǎng)，進行長期持續(xù)性滲透攻擊的一種網(wǎng)絡攻擊形式。APT具有三個基本特征。

一是威脅的水平很高級。APT攻擊者絕不是民間閑來無事進而炫耀技術(shù)的黑客，也不是只為攫取經(jīng)濟利益的網(wǎng)絡犯罪分子，而是由政府或組織資助、支持的團隊，甚至直接就是隸屬于某個政府或組織的秘密部門。攻擊者通常都有一個精心策劃、構(gòu)思縝密的特定攻擊策略，并充分利用包括病毒、木馬、網(wǎng)絡釣魚、社會工程學等在內(nèi)的各種技術(shù)和非技術(shù)手段。APT攻擊具有明確的目的性和針對性，其攻擊對象是政府部門、國際組織、大型企業(yè)等高價值目標，而不是一個無關(guān)緊要的普通網(wǎng)民。

二是威脅具有可持續(xù)性。如前所述，由于APT攻擊對象通常是防護嚴密的內(nèi)部網(wǎng)絡，攻擊者在攻擊觸發(fā)前，會進行為期幾個月甚至數(shù)年的精心準備，反復運用各種黑客技術(shù)或社會工程學手段，從目標網(wǎng)絡相對容易著手的“邊界”開始滲透，逐步熟悉目標網(wǎng)絡環(huán)境，搜集應用程序與業(yè)務流程中的安全漏洞，刺探定位關(guān)鍵信息的存儲位置與通信方式，一旦時機成熟，就會發(fā)動關(guān)鍵一擊，實施破壞或竊取重要情報，需要時也可長期潛伏，持續(xù)獲取情報。當然，這種“可持續(xù)性”并不否認攻擊者會采取多點入侵方式，并采用自動化的專業(yè)攻擊程序，以提高攻擊速度和成功率，盡快達成攻擊目的。

三是隱蔽性極強。APT攻擊者通常是利用目標網(wǎng)絡中受信任的應用程序漏洞來形成所需攻擊路徑，并借助僵尸網(wǎng)絡以掩蓋攻擊源。攻擊程序還會不斷重新編譯和利用加密來逃避檢測，盡可能以假亂真，在合法流量的掩蓋下行動，以至于許多網(wǎng)絡安全設備和軟件根本無法分辨出來。

經(jīng)典案例

APT雖然尚處于“幼年期”，但卻早已是“熟悉的陌生人”。很多著名的網(wǎng)絡攻擊案例中都能找到它的影子。

“震網(wǎng)”病毒攻擊伊朗核設施就是APT攻擊的代表作?！都~約時報》曾稱，“震網(wǎng)”是“迄今為止，最復雜的網(wǎng)絡武器，其目的是破壞別國基礎設施”。著名的計算機代碼分析專家郎格爾也認為，“震網(wǎng)”是一個異常高級的計算機病毒，僅用于實現(xiàn)控制功能的代碼量就高達1.5萬行，開發(fā)這樣的病毒必須舉一國甚至幾國之力并花費數(shù)年時間才能完成，僅憑幾個黑客要想開發(fā)這種病毒無異于癡人說夢?！罢鹁W(wǎng)”病毒是一個智能化的主體，它可以利用眾多的全新漏洞，通過潛伏在U盤中進行傳播，無須聯(lián)接互聯(lián)網(wǎng)，便可在工廠內(nèi)部計算機系統(tǒng)之間穿行。只要電腦操作員將被病毒感染的U盤插入USB接口，這種病毒就會在不需要任何操作的情況下，取得電腦系統(tǒng)的控制權(quán)，這使得“震網(wǎng)”病毒的潛伏和傳播都具有極佳的隱身性。據(jù)美國國家實驗室一項秘密評估稱，“震網(wǎng)”在對伊朗核設施實施攻擊前已經(jīng)潛伏在其核程序中達兩年之久。

2012年5月，一種名為“火焰”的病毒瘋狂來襲，一時震驚全球。其實，“火焰”病毒也是APT家族中的重要一員?！盎鹧妗辈《臼且环N后門程序和木馬病毒，同時又具有蠕蟲病毒的特點，它的部分特征與“震網(wǎng)”病毒相似，但結(jié)構(gòu)更復雜、危害更大?！盎鹧妗辈《疚募純?nèi)存達20兆，其代碼打印出來的紙張長度可達2400米，程序代碼量是“震網(wǎng)”病毒的20倍、普通商業(yè)信息盜竊病毒的100倍，包含大約20個程序模塊。如此多的代碼用緊湊的編程語言進行編寫，可便于更好地隱蔽，并已經(jīng)成功規(guī)避100多種殺毒軟件的查殺。國際電信聯(lián)盟向聯(lián)合國成員國發(fā)出警告，稱“火焰”病毒是迄今最為強大的間諜工具。政府機構(gòu)、大型企業(yè)的電腦系統(tǒng)一旦被感染，將迅速蔓延，面臨機密信息泄露的風險。據(jù)了解，這種神秘病毒的危害程度超過了已知的其他任何一種電腦病毒，可實施包括檢測網(wǎng)絡流量、截獲屏幕畫面、記錄音頻對話、截獲鍵盤輸入等一系列復雜行動，被感染系統(tǒng)中所有數(shù)據(jù)都能通過鏈接傳到病毒指定的服務器，讓操控者一目了然。

此外，以谷歌和其他大約20家大公司為目標的“極光”攻擊，針對美國政府、聯(lián)合國、國際紅十字會等組織，以及軍工企業(yè)、能源公司、金融公司等企業(yè)的ShadyRAT攻擊等，也都是APT攻擊的典型案例。

如何應對

由于APT的復雜性和多樣性，傳統(tǒng)的嚴控網(wǎng)絡邊界的防御方法效果甚微，必須采取新的防御策略，擴大防御縱深，加強計算機網(wǎng)絡的安全防護。

一是強化用戶安全意識?！澳悴荒茏柚褂薮佬袨榘l(fā)生，但你可以對其加以控制?！焙芏郃PT攻擊往往通過引誘用戶點擊他們不應理會的鏈接侵入網(wǎng)絡。限制沒有經(jīng)過適當培訓的用戶使用相關(guān)功能，能夠降低整體安全風險，這是一項需要長期堅持的措施。

二是對用戶行為進行信譽評級。傳統(tǒng)網(wǎng)絡安全解決方案采用的，是判斷行為“好”或“壞”進而“允許”或“攔截”之類的策略，而APT攻擊在開始時偽裝成合法流量進入網(wǎng)絡，得逞后再實施破壞。因此，需要對用戶行為進行跟蹤，并對其進行信譽評級，以確定其合法性。

三是重視分析網(wǎng)絡傳出流量。傳統(tǒng)的網(wǎng)絡防御重視通過分析判斷傳入流量，以防止和攔截攻擊者進入內(nèi)部網(wǎng)絡，這對于截獲某些攻擊還是有效的，但對于APT，傳輸流量則更具危險性。如能有效監(jiān)控分析網(wǎng)絡傳出流量，更易于檢測到異常行為，并對機密信息的外泄實施攔截。

四是嚴格管控關(guān)鍵網(wǎng)絡終端。攻擊者通常只將入侵網(wǎng)絡作為跳板和起點，其最終目的是要竊取關(guān)鍵網(wǎng)絡終端中的數(shù)據(jù)信息。要想有效控制風險，防止核心機密信息泄露，嚴格管控網(wǎng)絡終端仍是一項長期有效的保護措施。

五是經(jīng)常實施攻擊測試。聘請經(jīng)驗豐富的黑客和技術(shù)專家，模擬不明攻擊者對內(nèi)部網(wǎng)絡反復進行攻擊測試，從中發(fā)現(xiàn)系統(tǒng)漏洞和管理隱患，并綜合采取各種技術(shù)和管理措施進行彌補，就能大大提高內(nèi)部網(wǎng)絡的安全性能。

六是進行長期跟蹤分析。這是應對APT攻擊“持續(xù)性”的有效方法。對于關(guān)鍵業(yè)務部門或單位，在網(wǎng)絡安全記錄審查方面，除日報、周報、月報外，時間更長的季報甚至年報所呈現(xiàn)出來的攻擊趨勢更為重要。APT攻擊絕不是一次偶然或孤立的單一事件，應對盡可能長的網(wǎng)絡安全記錄進行持續(xù)跟蹤觀察，從中捕捉發(fā)現(xiàn)APT攻擊的蛛絲馬跡。

七是采用新型網(wǎng)絡安全技術(shù)。當前，網(wǎng)絡安全技術(shù)也在不斷發(fā)展，“云安全”技術(shù)就是防御APT攻擊的一種重要手段。傳統(tǒng)的網(wǎng)絡實時監(jiān)測和管理工具，都是針對不同的網(wǎng)絡平臺，因為要審查所有事件和日志往往效率較低，這就給了攻擊者更多的時間和機會實施入侵。如果利用“云安全”架構(gòu)，將各種網(wǎng)絡安全基礎設施統(tǒng)一管理，并將網(wǎng)絡安全報表和日志整合起來進行系統(tǒng)分析，能大大提高對APT攻擊的發(fā)現(xiàn)概率。

當前，APT已經(jīng)成為網(wǎng)絡安全領(lǐng)域的一個熱詞。由于它并非小打小鬧，一旦攻擊成功便會造成嚴重的危害和損失，從而對被攻擊國家的網(wǎng)絡安全構(gòu)成嚴峻挑戰(zhàn)，因此愈發(fā)引起世界各國的廣泛關(guān)注。

如果說每一次敲擊鍵盤就等于擊發(fā)一顆子彈，每一塊CPU就是一架戰(zhàn)略轟炸機的話，那么，實施APT攻擊就好比在網(wǎng)絡領(lǐng)域發(fā)動核攻擊。鑒于其巨大的作戰(zhàn)運用潛力和極強的計算機網(wǎng)絡破壞力，在不久的將來，APT必將成為一個異?；鸨拿餍牵诰W(wǎng)絡領(lǐng)域勇?lián)叭鍪诛怠钡慕巧?/p>

（責任編輯：何 荷）

簡 訊

山東省高唐縣定向招聘退伍大學生

近兩年，山東省高唐縣通過定向招聘，有36名退伍大學生經(jīng)過層層選拔，順利錄用到事業(yè)單位，占報考人數(shù)的35.3%。該縣人武部以“拓寬退伍大學生的就業(yè)渠道”為重要抓手，同縣委、縣政府聯(lián)合制定了《高唐縣高校畢業(yè)生退役士兵優(yōu)待安置暫行辦法》。每年公開招聘事業(yè)單位工作人員時，預留崗位定向招聘三年內(nèi)退伍的大學生士兵，并對高學歷、立功、優(yōu)秀士兵、任班長職務、參加重大平暴和救災行動的，給予相應的加分。報考人員通過筆試、資格審查、面試、體檢和政審后，按照總成績擇優(yōu)錄用，得到用人單位和退伍大學生的一致好評。該舉措為進一步做好新形勢下征兵工作創(chuàng)造了條件。

（李澤新 陶玉棟）

中圖分類號：E9

文獻標識碼：B

文章編號：ISSN1002-4484（2015）04-0079-03