全球高级持续性威胁(APT)2019年报告
过去的一年,在网络威胁(Cyber Threat)领域度过了颇为不平静的一年。网络威胁和攻击似乎更为广泛的应用于地缘政治和军事冲突之下,其作为除了军事打击之外更为有效的手段。通常,实行军事行动或军事打击,往往受制于国力、财力、军力、国际舆论、政治压力等多方面因素,而实施网络攻击行动则是利用更加隐蔽的方式达成类似的效果。
网络行动(CNO)在美国军事领域被视为信息作战的核心能力之一,其由网络攻击(CNA)、网络防御(CND)和网络利用(CNE)组成。过去我们讨论的更多的 APT 威胁都属于 CNE 范畴,其主要的意图在于收集目标系统或网络的情报数据并加以利用。因此,持久化和隐匿性是实施 CNE 的重要基础。
而 CNA 的主要目的在于干扰(Disrupt)、拒绝(Deny)、降级(Degrade)、破坏(Destroy)目标的设施、设备、网络甚至数据信息。当下像政务系统、电力能源、医疗、工业制造等具备更高的信息化和智能化,导致一旦出现网络攻击,其不仅仅是面临财产的损失,而且对社会和民生造成极大的影响。由于 CNA 所造成的影响和现象是明显的,其类似于现代军事行动具备在较短时间范围就能达到行动目标,而实施 CNA 的基础则在于对潜在目标的了解程度和网络武器的装备化,所以其往往依赖于历史的网络利用活动,或是结合网络利用。像震网事件、乌克兰停电事件、WannaCry 爆发都是较为典型的网络攻击的形态。
过去,我们在分析、发现、识别和跟踪网络攻击和利用活动时,不仅关注于攻击的战术技术特点,以及总结和归纳其攻击来源和攻击组织的手法和变化,从而提高对对手的了解程度以及研究 APT 威胁的趋势。结合过去我们对 APT 威胁的研究基础,APT 威胁正在变得更加复杂化,其不光体现在对手的策略和能力的提升,而且更加注重对自身的操作安全(OPSEC),通过隐藏、伪装、误导、模仿的方式减少留下自身的行为指纹,对 APT 威胁的归因分析带来挑战。APT 组织寻求更高维度的攻击链路,包括对广域网的流量劫持,基础设施劫持,供应链攻击等等,导致对于 APT 威胁分析依赖于更广维度的数据来源和元数据类型。
我们在每次全球高级持续性威胁的研究总结报告中对近一年内全球APT 威胁活动和 APT 研究成果的分析和总结,并提出我们对 APT 威胁的变化趋势的看法。也寄希望于对业内的 APT 研究和防御提供一些基础性思路。