伴随着对云计算的拥抱、新的DevOps流程的普及、物联网设备的蔓延、供应链的复杂交织以及更多数字基建的涌现，新一代网络攻击手段也在持续演进，有效的威胁检测与响应能力作为重要的攻防手段，是提升实战化对抗能力的关键因素。

本期我们邀请了知道创宇实验室APT高级威胁情报团队来分享自身在该领域的观察思考和实践。

APT攻击愈演愈烈网络空间安全形势持续升级

今年6月，西北工业大学表示，西工大电子邮件系统遭受网络攻击。9月5日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告》，揭露了境外黑客组织长期渗透控制中国基础设施核心设备，窃取中国用户隐私信息的事实。

这一安全事件让APT高级可持续性威胁这一行业用语走到台前，让社会各界加深了对活跃在网络阴暗面的网络攻击活动的认知。事实上，在大众视野之外，APT攻击、勒索攻击、超大规模数据泄露、波及范围极广的重大安全漏洞等类型众多的安全事件时刻都在发生，网络空间的安全形势日渐严峻。

APT攻击频次剧增攻击手段更加复杂

在采访中，知道创宇实验室APT高级威胁情报团队的安全专家告诉我们，近两年来，APT攻击频次日益增多，仅今年上半年便发现了多起APT攻击活动，数量远高于去年全年APT事件的总和，且攻击对象涵盖了政府、军工、能源、金融等众多领域。在攻防对抗中，漏洞利用攻击、无文件攻击、供应链攻击等各类高级攻击手法频频出现，0day漏洞攻击数量显著。

安全专家们谈到，在年末发布的APT攻击趋势报告总结中曾指出，以海莲花为首的一系列APT组织正在逐步放弃钓鱼邮件的传统攻击手段，转为采用漏洞攻击、渗透攻击等更高级的方式发起攻击活动，攻击目标也逐步转为优先攻击安全公司、终端软件管理公司、科技公司等，再通过上述攻击在供应链中植入恶意代码，实现供应链攻击，抵达攻击者的最终攻击目标。从不断爆发的大规模攻击事件中不难看出，APT组织越发猖獗，APT攻击活动也越发频繁，采取相应措施抵御威胁刻不容缓。”

攻防对抗日趋激烈传统安全思维日渐式微

安全专家们进一步指出，随着攻防双方对抗手段的持续升级，各类高级攻击手段频繁出现，其攻击手法隐蔽、破坏性强，给传统防护安全带来了极大挑战，传统的被动防护思维和技术手段已无法对层出不穷的新型攻击手法进行有效检测和识别，无形中降低了客户信息系统的安全防护能力。

“在某些案例里，我们发现海莲花组织专门针对国内某知名反病毒厂商的杀软做了免杀。在安装了某杀软的机器上运行后，杀软全盘扫描也无法识别该木马文件，这凸显了一线攻防对抗的激烈性。”

他们表示，为应对日益更新的攻击手法，业内主流的防护手段也逐步从传统特征、情报等单一检测手段，演变成多种检测手段融合的方式，通过对高级威胁全周期的不同攻击阶段利用不同的检测手段进行检测，进一步缩短对APT攻击的发现周期。同时，将AI技术引进网络安全领域也已成为新趋势，AI技术基于大数据对不同业务场景威胁进行建模分析，挖掘数据规律及目标特征，提升高级威胁及未知威胁的检出率，提高网络分析的效率及准确性。

实验室APT高级威胁情报团队认为，当前业内主流防护手段更应注重向前防御理念打破被动防御，即在攻击者发起攻击前，就对可疑IP、域名进行持续追踪，确保攻击被扼杀在摇篮。作为一线攻防厂商，知道创宇在APT高级威胁检测与防御方面已经积累了大量经验和实践，利用全网独家的测绘情报，已能帮助用户在APT发起攻击前就可识别到可疑IP、域名，有效进行提前监控，同时结合基因图谱检测、复杂位运算、沙箱检测等先进技术，实现对未知威胁的积极防御。

安全产品+专业服务一体化以APT测绘及APT防御应对高级威胁

知道创宇在早期就意识到了APT攻击的严峻性，长期对全球范围内的APT组织进行深入的、持续化的跟踪和研究分析。目前已经形成了安全产品+专业服务一体化，通过APT测绘+APT防御的完整解决方案，帮助用户构建精准和高效的APT全面防御能力。

向前防御

通过在全球网络空间资产测绘、漏洞挖掘研究以及云防御持续十余年的一线实战对抗，积累了海量向前防御大数据和外网持续交火大数据，能够为用户构建向前防御能力，在空间层面将对抗地点放在自身网络疆界以外，在时间层面提前获取攻击者资产、画像、漏洞等一手信息，实现网络安全防御关口前移，赢得时间和空间的主动。

边界防御

通过在互联网边界旁路部署创宇云图威胁检测系统、创宇猎幽APT流量监测系统，对进出互联网的流量进行全流量深度分析，基于基因图谱检测、复杂位运算、APT情报测绘、沙箱检测等技术，对流量中存在的0Day漏洞攻击、勒索病毒、恶意代码变种、恶意文件、异常访问行为、数据泄露、暗网通讯、APT攻击等进行检测与识别，构建针对攻击链的交叉检测验证体系。

内网防御

通过在内网主机或云主机上部署创宇云影内网主机安全监测系统轻量级客户端，提供对抗黑客攻击及恶意代码的能力，有效检测及拦截已知和未知安全威胁如0Day攻击、勒索病毒攻击、横向渗透、无文件攻击、供应链攻击、APT攻击等，并且可以提供资产清点、端点取证、溯源分析、系统恢复等能力，将预防、检测和响应集中在统一的控制台流程中，为端点提供全面的全生命周期安全防护。

协同联防

通过将检测结果同步给旁路部署的威胁情报网关进行联动，实现对攻击者的旁路阻断，形成监测预警、威胁检测、溯源分析和响应处置能力闭环，同时可与云端进行实时情报更新，实现全网联防联控。创宇威胁感知大数据平台（CIC）则可以收集多源的高级威胁检测数据，通过大数据建模和关联分析，实现全局视角的威胁态势感知和风险研判。

专家服务

知道创宇实验室APT高级威胁情报团队由经验丰富的安全专家组成，长期为国家相关部门进行APT监测相关技术支撑，可为客户提供专业的一手APT情报、APT木马及流量分析服务，协助客户实现安全事件的溯源分析，持续提升高级威胁检测与响应能力。

多管齐下助力企业客户打好应对APT攻击的组合拳

APT高级威胁情报团队的专家介绍，在产品层面，通过创宇云图威胁检测系统、创宇猎幽APT流量监测系统、创宇云影内网主机安全监测系统、创宇威胁感知大数据平台（CIC）在内的四款安全产品，来帮助用户打好应对APT攻击的组合拳。

在采访中，实验室APT高级威胁情报团队的专家为我们分享了知道创宇成功帮助某央企构建APT检测与防御能力的成功案例。据介绍，此前该企业客户也曾部署过其他安全厂商的NTA、NDR、EDR类型设备进行尝试，但经检测分析结果发现，其在未知威胁攻击防护方面效果仍然欠佳，无法实现精准检测和事后的溯源分析。因此迫切需要找到一套真正符合自身安全建设需求的系统性解决方案，更全面、及时地监测到各类APT攻击信息，增强对于重要系统的安全监控。

在对客户的安全现状进行全面深入的检测和梳理过后，知道创宇发现该企业主要存在三个方面的痛点：

一是APT攻击来去无影踪，难以获取APT组织的线索，无法做到及时防御，信息泄露造成严重损失；

二是当前分析流量主要依靠人工，高级安全分析人员人手欠缺，无法支撑大量的告警分析，且不可控因素较强；

三是溯源困难，无法全面了解已发生的APT事件背景包括攻击目标、范围、趋势等信息，无法对未来的安全规划提供合理化建议。

针对这一企业存在的安全问题，安全团队通过多次现场沟通和调研，最终在该客户总部数据中心互联网边界旁路部署了创宇云图威胁检测系统、创宇猎幽APT流量监测系统对进出互联网的流量进行全流量深度分析，为了减少对原有链路的影响，采用1分2分光器以80:20的分光比例对流量进行采集。

同时在办公PC、云主机、物理主机上分别部署创宇云影内网主机安全监测系统轻量级客户端进行安全检测，并将安全检测的数据汇总于管理中心进行安全分析。在发生告警后，知道创宇安全专家协助客户进行现场取证，结合创宇智脑威胁情报进行深入分析，对攻击链完整还原，提供分析报告并给出安全策略的优化建议。

在该系列产品全面部署上线后仅一周，就在该企业内网中发现包括内网webshell渗透攻击、内网主机感染mozi木马进行横向传播、内网主机感染Polaris木马进行横向传播、内网主机对其他内网主机进行漏洞攻击、内网主机感染多个APT组织木马及其他各类木马，以及多起外部IP对内网进行漏洞攻击事件。

能否真正助力客户精准感知未知威胁、实现高级威胁防护，是衡量厂商安全能力和APT攻击检测与响应解决方案价值的唯一准绳。

APT攻击将持续复杂化和隐蔽化更加难以检测和防范

采访最后，谈及APT攻击未来攻防趋势以及知道创宇的应对思路时，实验室APT高级威胁情报团队的专家谈到，“未来-5年黑客会更加有针对性、有组织性地对关基单位、企业发起攻击，以达到窃取重要信息，非法盈利的目的。”

此外，未来高级威胁可能会更多地针对现有特征检测技术的对抗，实现对特征检测技术的绕过，如IDS类检测特征绕过、杀软特征绕过，也有研究利用人工智能技术，如强化学习，训练对抗现有检测手段的绕过能力工具或样本，以及更多地使用加密或隐蔽隧道方式，隐藏攻击行为和内容。

#网络安全#