【IT168 评论】“傻子太多，骗子都不够用了”，“骗术+技术=流氓有了文化”，“你是否被攻击完全取决于你在攻击者眼中是否有足够的攻击价值”，“过去是打哪指哪，APT是指哪打哪”，“半小时写10行Java Code，就可以绕开所有国外安全软件”，“APT攻击时间平均为5年，但发生结果可能只有几秒钟”。这些有趣的观点，就来自首届中国互联网安全大会“APT本质探索与应对论坛”上演讲嘉宾的发言。

　　中国互联网安全大会于2013年9月23日在在北京国家会议中心举行，当天下午举行的APT专题论坛成为现场关注的焦点。现场不仅坐满了参会者，也站满了参会者。这种新型的网络攻击方式带给了人们很多的好奇与思考。

　　关于APT攻击的起源，一般可以追溯到2005年至2006年，但具体起源于哪一次攻击事件，不同研究者给出的说法并不一致。不过当时，APT这个词还只不过是在少数研究者和专业圈中流传，直到2010年，伊朗核设施遭遇网络攻击，APT这个词才广为人知。

　　APT攻击具有很强的隐蔽性，不易被发现。研究多起国际知名的APT攻击事件就会发现，从攻击开始到被发现曝光，其平均潜伏周期竟然长达5年之久。另外，APT攻击的具体手法也变化多端，没有固定的模式，因此防范难度非常之大。这就给企业和机构的安全防护工作造成了很大的难度。关于如何才能有效的防范APT攻击，国际上也分为很多个流派，但目前尚没有被公认的彻底的解决方案。甚至很多研究者认为：APT攻击是根本无法防御的。

　　APT攻击彻底颠覆了我们对木马病毒攻击的传统认识。一般来说，纯粹的木马病毒攻击会追求低成本、高收益。一方面，病毒作者往往会选取用户使用率最高操作系统或软件为攻击对象，如Windows、安卓等，使木马病毒具有很强的通用性，可以大范围的进行无差别的攻击;另一方面，攻击者总是尽可能选取防御能力最差的目标作为攻击对象，就象狼群总是追赶最瘦弱的小羊一样。在攻击收益不确定，甚至攻击者根本不追求收益的传统攻击场景下，这种攻击方式可以大大降低攻击的成本。

　　不过，APT攻击则完全不同。APT攻击往往是从一开始选定了明确的攻击对象和攻击目标，并为此进行长期的人力和物力的投入。攻击者追求的是攻击成功率，而不是攻击范围的扩大。使用的手段也具有很强的针对性，而不是通用性。另外，需要使用APT方式进行攻击的对象，通常来说都是具有较强的防御能力。不过当然，APT攻击也选择整体防御中能力相对薄弱的环节进行攻击。

　　安天实验室首席技术架构师肖新光在演讲中指出：APT攻击是否发生，完全取决于攻击目标的攻击价值以及攻击者的成本承受能力;而APT的持续性指的并不是病毒的生命周期，而是攻击者投入的耐心和毅力的持续性。

　　在APT攻击中，绝大多数都是小玩家，但也会有一些“大玩家”的参与。小玩家大致可以分为三类：白开心，淘黑金和窃密者。但大玩家则往往具有一定的政治或者军事目的。当我们面对这些大玩家时，很多我们通常的安全认知都会失效。比如，你可以不泄漏自己的密码密钥，但大玩家却可以轻易的通过非技术手段，强行获得你的密码密钥。您可以通过手机等方式进行多通道验证，但在大玩家面前，这些通道也是不安全的。类似的，即便你使用特殊的专用系统，您也只能是减少通用病毒的攻击，而不能阻止大玩家的APT攻击。

　　国家网络信息安全技术研究所所长杜跃进在演讲中指出：通用安全产品一般不适用于APT攻击的防御，因为攻击者可以通过简单的测试来验证自己的程序是否会被通用安全产品所发现和拦截。只有在通用安全产品无法拦截的情况下，恶意程序才会在APT攻击中被使用。因此，要对APT攻击进行防御，就不能简单的使用通用安全产品，而是需要定制化的安全服务或专属的安全服务。

　　杜跃进还在演讲中风趣的比方说：APT攻击就是“贼惦记”，过去的木马病毒都是打哪指哪，但APT攻击是指哪打哪。

　　APT攻击中经常会使用未知的恶意程序和0day漏洞。那么对于无法检测的未知威胁和0day漏洞的利用，是否就完全没有办法了呢?也不尽然。360安全工程师张聪就给出了一种“主动防御+隔离沙箱”的新型防护策略。

　　0day漏洞的利用虽然理论上说是无法阻止的，但其具体行为也有一定的特征可循。比如，利用0day漏洞发起攻击，一般来说就必须在内存中进行布局，并且使用系统调用和跳转执行等。因此我们可以通过内存布局侦测、内存块源头追踪、关键指令监控和预先内存占坑等方法来发现和阻止0day漏洞的利用。

　　而对于未知威胁，虽然我们不能从代码特征上将其100%的检出，但其行为也有一一定的特点：首先，它必然在一个终端上运行;第二，它必然需要接触敏感数据;第三，它必然有网络行为。因此，通过针对行为特征的“主动防御+隔离沙箱”，就可以在相当程度上降低APT攻击的生存空间。

　　除了上述方法外，“非白即黑”也是防御APT攻击的一种有效方法。不过，张聪在演讲的最后也指出：目前确实没有一种方法可以完全抵御APT攻击，有些安全策略也完全有可能被攻击者设法绕过。

　　除了技术上的未知因素很多之外，APT攻击难以防御的另外一个主要原因，就是APT攻击或多或少的都包含社会工程学手段的应用。社会工程学手段在实际生活中很常见。如诈骗电话，诈骗短信，欺诈小广告等都是比较常见的社工手段。再比如，故意在企业门口“遗失”U盘，向企业员工寄送数码产品，如路由器，手机，笔记本电脑等，也都是常见的社工手段。黑客会预先在数码产品中安装木马程序或间谍软件，一旦企业员工开始使用这些数码产品，木马程序就有机会渗透到企业的内网系统或办公设备中，从而隐秘的实现机密信息的窃取。

　　与单纯的技术手段相比，社会工程学手法更容易实现，但却更难以防御。社工手段可以完全不依赖于任何系统漏洞而实现攻击，其行为方式可能完全超出安全人员预设的任何安全场景。大成天下创始人吴鲁加在演讲中指出：社工手段常常是APT攻击中的临门一脚，其边界完全取决于想象力。

　　似乎，我们也可以这样理解：APT的攻防战就是一场想象力的战争。

　　“傻子太多，骗子都不够用了”，“骗术+技术=流氓有了文化”，这些风趣幽默的观点也是出自吴鲁加之口。

　　当我们进入移动互联网的时代，APT攻击似乎也是变得更加容易了。受到功耗、计算能力以及资费等方面的约束，智能移动终端的安全性远远达不到PC安全防护那样的完美程度。而与之对应的是，智能手机中所存储的敏感信息却要比PC多得多，安全需求实际上应当更高。这就形成了一种难以克服的矛盾。

　　Trustlook CEO张亮先生在介绍移动互联网中的APT攻击应对时，还展示了自己编写的几段恶意程序是如何骗过所有国外的手机安全软件检测的。根据张亮介绍：这些用汇编语言编写的代码如果用Java代码来表达，总共也就10行左右，一个计算机专业的大学生可能用不了半个小时就能编写这样一段代码。这些代码的功能也很简单，就是一旦读取到电话号码等敏感信息，就立即通过网络向外发送。但就是这样几段简单的恶意代码，却轻松的骗过了所有国外手机安全软件。

　　事实上，别看这些代码不长，但也同样采用了隐蔽和伪装的技术，具体来说，一个是分割，一个是加密。一部分代码采用了分割传送的机制，即把获取到的用户信息(如手机号)截成几段，之后分别独立的发送到不同的服务器上。由于信息被拆分成很小的碎块，因此安全软件就很难检测和发现敏感信息的泄漏;另一部分代码则采用了加密传送的方法，即当恶意程序获得用户信息后，就将其进行简单的加密后再发送到网络上。这种方法同样大大增加了检测的难度。据张亮介绍，加密层数越多，越难以进行安全性检测。但从实践角度看，仅仅是2层加密措施，就足以骗过现有的国外手机安全软件了。

　　APT防御的另外一个重要学术流派就是大数据分析：通过对终端、边界和服务器等数据的监测、采集和集中分析，发现数据异常，从而预警APT攻击的发生。大数据解决方案的基本思想是：不关心具体的攻击目的、攻击目标和攻击手法，而是通过数据统计层面的异常波动来来及时发现非法行为，从而实现APT攻击的快速发现与快速响应。

　　不过，大数据分析的方法也面临着一些困难的问题，比如：如何进行全流量的数据存储以便进行回溯分析;如何在不停机的情况下进行实时的快速分析;如何在宏观统计层面发现微观层面的细小波动等等。

　　中国科学院计算技术研究所副总工程学旗在演讲中指出：真实的空间与数据空间是平行空间，数据空间所存在的手段，在真实空间中也一定对应着特定的行为。没有单一有效的方法可以解决所有问题，大数据分析也只是APT攻击的一种思想和方法，并非是APT攻击解决方案的全部。