文／周 磊

9月11日，第九屆國家網(wǎng)絡(luò)安全宣傳周落下帷幕，APT（高級持續(xù)性威脅）攻擊依舊成為熱詞。宣傳周期間，國家計算機病毒應(yīng)急處理中心發(fā)布了《西北工業(yè)大學(xué)遭美國NSA網(wǎng)絡(luò)攻擊事件調(diào)查報告》，曝光了NSA下屬的特定入侵行動辦公室（TAO）對西北工業(yè)大學(xué)長期隱蔽的攻擊竊密活動，引爆了全球輿論。

另一起震驚全球的事件是，9月7日，北約成員國阿爾巴尼亞宣布與伊朗斷絕外交關(guān)系，緣由是伊朗APT組織在7月對阿國進行了大規(guī)模網(wǎng)絡(luò)攻擊。這是世界上第一起因網(wǎng)絡(luò)攻擊導(dǎo)致兩國斷交的事件。

APT是一種隱蔽的威脅行為體，通常是一個民主國家或國家支持的組織，未經(jīng)授權(quán)訪問目標計算機網(wǎng)絡(luò)，并在很長一段時間內(nèi)不被發(fā)現(xiàn)，動機通常是政治或經(jīng)濟目的。其攻擊過程有八個步驟：初始突破、建立據(jù)點、權(quán)限提升、內(nèi)部偵察、橫向移動、隱蔽潛伏、數(shù)據(jù)盜取、任務(wù)達成。

據(jù)統(tǒng)計，全球發(fā)現(xiàn)的APT組織超過150個，分布在美國、以色列等國。過去幾年，有50個其他背景的黑客組織，對中國的國家級網(wǎng)絡(luò)進行了數(shù)千次攻擊。2020年，針對中國的有13個，首次披露了4個，如魔鼠、藍色魔眼和旺刺等。2021年上半年，針對我國的APT組織有12個，首次發(fā)現(xiàn)的2個為蕪瓊洞、偽獵者。

攻擊領(lǐng)域廣泛，規(guī)模龐大；攻擊目標多樣，全域覆蓋；攻擊技術(shù)先進，手法復(fù)雜。這是APT組織攻擊的典型特征。當前，攻擊手段多樣化、復(fù)雜化、融合化、勒索化的特征更為明顯，零Day漏洞利用、網(wǎng)絡(luò)釣魚、AI欺騙、虛假錯誤信息擾亂，甚至供應(yīng)鏈攻擊、假冒產(chǎn)品植入、內(nèi)部人員威脅等，不斷有新型手段出現(xiàn)。勒索化APT不容小覷。據(jù)統(tǒng)計，已有43個APT組織采用勒索軟件攻擊套路。

APT組織攻擊的目標對象，從行業(yè)來看，能源、交通、金融、科技、醫(yī)療等無不涉及。備受關(guān)注的伊朗APT33，熱衷的目標是石油供應(yīng)鏈，歐洲、亞洲的石油公司以及關(guān)聯(lián)的上下游企業(yè)，在2018、2019年均遭受攻擊。

APT攻擊的防御是當前網(wǎng)絡(luò)空間安全對抗的焦點和難點，也是國家政治、經(jīng)濟、外交、軍事、科技等實力對抗的前沿。傳統(tǒng)的病毒對抗、保密對抗、惡意代碼對抗、安全風(fēng)險對抗，已無法遏制和威懾APT組織的攻擊態(tài)勢，迫切需要突破單純技術(shù)對抗、威脅情報對抗、網(wǎng)絡(luò)能力對抗的局限，應(yīng)著力構(gòu)建體系對抗、情報對抗、人力對抗、文化對抗的綜合態(tài)勢。

體系對抗，是APT對抗的典型屬性，是系統(tǒng)思維的運用和系統(tǒng)工程的實踐。這可簡單理解為國家/組織資源體系之間的全面對抗。這類資源包括經(jīng)濟、政治、外交、科技、媒體和軍事等資源。

情報對抗，顛覆戰(zhàn)術(shù)型網(wǎng)絡(luò)威脅情報對抗的局限，把網(wǎng)絡(luò)情報、信號情報、人力情報等要素納入綜合對抗范疇，賦能APT對抗情報能力。這是國家間網(wǎng)絡(luò)空間安全對抗的必然選擇。

人力對抗，以人為核心的網(wǎng)絡(luò)安全，即人是網(wǎng)絡(luò)安全的最大變量。這是組織和企業(yè)應(yīng)當積極倡導(dǎo)的重要理念。網(wǎng)絡(luò)空間安全對抗，實則是攻防兩端人的對抗。這是APT對抗的本質(zhì)。培養(yǎng)和提升網(wǎng)絡(luò)安全人才，是厚實對抗實力的關(guān)鍵。

文化對抗，網(wǎng)絡(luò)安全文化，應(yīng)當是企業(yè)文化的有機組成部分。組織、員工正是這種網(wǎng)絡(luò)安全文化的載體。技術(shù)、設(shè)備、人員更替勢不可當，唯有內(nèi)化于心、外化于行的生生不息的文化力量綿延傳承。這是網(wǎng)絡(luò)空間安全對抗的終極形態(tài)。