一、新型威脅的國內外發展趨勢

國際

2013年4月份Verizon發布的《2013年數據破壞調查報告》分析了全球47000多起數據破壞安全事故，621宗確認的數據泄漏案例，以及至少4400萬份失竊的記錄。《報告》指出有高達92%的數據破壞行為來自外部，有19%的數據破壞行為來自國家級別的行為，利用脆弱的或者竊取到的用戶身份訪問憑據進行入侵的行為占到了76%，而各種黑客行為和惡意代碼依然是主要的信息破壞手段。報告將包括APT攻擊在內的信息破壞的敵對方分為了有組織犯罪集團、國家或國家資助的組織、黑客活躍分子三類。

根據FireEye發布的《2012年下半年高級威脅分析報告》，詳細分析了APT攻擊的發展態勢。《報告》指出，平均一個組織和單位每三分鐘就會遭受一次惡意代碼攻擊，特指帶有惡意附件、或者惡意WEB鏈接、或者CnC通訊的郵件;在所有遭受攻擊的企業和組織中，擁有核心關鍵技術的技術類企業占比最高;在定向釣魚郵件(spear phishing email)中經常使用通用的商業術語，具有很大的欺騙性;92%的攻擊郵件都使用zip格式的附件，剩下的格式還有pdf等。

此外，國際上，尤其是美國著重炒作來自中國的APT攻擊。最典型的是Mandiant公司發布的《對APT1組織的攻擊行動的情報分析報告》，將APT1攻擊行動的發起者直接定位到中國軍方。在美國舊金山舉辦的RSA2013大會上，直接以中國APT攻擊為主題的報告就有6個之多。其中有一個研討會題為《中美的網絡沖突和中國網絡戰研究》。演講者是《二十一世紀的中國網絡戰》一書的作者。這個曾經在美國研讀過中文的美國人從西方的視角來分析了中國的網絡戰戰略、戰術。

以防范APT攻擊為引子，各國紛紛加強國家級的網絡空間安全研究、相關政策制定與發布。美國、加拿大、日本、歐盟各國、北約等國家和組織紛紛強化其網絡空間安全的國家戰略，其中就包括應對包括APT在內的國家級的敵對方的攻擊。ENISA(歐洲網絡與信息安全局)、北約CCDCOE(協作網絡空間防御卓越中心)、蘭德公司、歐洲智庫SDA公司都對世界主要國家的網絡空間安全戰略思想、安全威脅特征、安全防御水平等進行了較為深入的對比分析與研究。

各國對新型威脅的重視，也帶動了整個網絡空間安全市場的崛起。2012年6月份，MarketandMarket公司發布了一份市場分析報告，稱到2017年，全球的網絡空間安全市場將達到1200億美元的規模，而在2011年市場價值已經有637億美元。報告明確指出，網絡空間安全未來將來首要應對的問題就是APT，此外還包括僵尸網絡、傳統蠕蟲和病毒等。

國內

根據CN-CERT發布的《2012年我國互聯網網絡安全態勢綜述》，我國面臨的新型威脅攻擊的形勢還是比較嚴峻的。利用“火焰”病毒、“高斯”病毒、“紅色十月”病毒等實施的高級可持續攻擊(APT攻擊)活動頻現，對國家和企業的數據安全造成嚴重威脅。2012年，我國境內至少有4.1萬余臺主機感染了具有APT特征的木馬程序。#p#

二、新型威脅的綜合分析

綜合分析以上典型的APT攻擊，可以發現，當前的新型攻擊主要呈現以下技術特點：

1) 攻擊者的誘騙手段往往采用惡意網站，用釣魚的方式誘使目標上鉤。而企業和組織目前的安全防御體系中對于惡意網站的識別能力還不夠，缺乏權威、全面的惡意網址庫，對于內部員工訪問惡意網站的行為無法及時發現;

2) 攻擊者也經常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發件人。而企業和組織現有的郵件過濾系統大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，傳統的郵件內容分析也難以奏效;

3) 還有一些攻擊是直接通過對目標公網網站的SQL注入方式實現的。很多企業和組織的網站在防范SQL注入攻擊方面缺乏防范;

4) 初始的網絡滲透往往使用利用0day漏洞的惡意代碼。而企業和組織目前的安全防御/檢測設備無法識別這些0day漏洞攻擊;

5) 在攻擊者控制受害機器的過程中，往往使用SSL鏈接，導致現有的大部分內容檢測系統無法分析傳輸的內容，同時也缺乏對于可以連接的分析能力;

6) 攻擊者在持續不斷獲取受害企業和組織網絡中的重要數據的時候，一定會向外部傳輸數據，這些數據往往都是壓縮、加密的，沒有明顯的指紋特征。這導致現有絕大部分基于特征庫匹配的檢測系統都失效了;

7) 還有的企業部署了內網審計系統，日志分析系統，甚至是安管平臺。但是這些更高級的系統主要是從內控與合規的角度來分析事件，而沒有真正形成對外部入侵的綜合分析。由于知識庫的缺乏，客戶無法從多個角度綜合分析安全事件，無法從攻擊行為的角度進行整合，發現攻擊路徑。

因此，在APT這樣的新型威脅面前，大部分企業和組織的安全防御體系都失靈了。保障網絡安全亟需全新的思路和技術。