解析新型威胁及其国内外发展趋势

一、新型威胁的国内外发展趋势

国际

2013年4月份Verizon发布的《2013年数据破坏调查报告》分析了全球47000多起数据破坏安全事故，621宗确认的数据泄漏案例，以及至少4400万份失窃的记录。《报告》指出有高达92%的数据破坏行为来自外部，有19%的数据破坏行为来自国家级别的行为，利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%，而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。

根据FireEye发布的《2012年下半年高级威胁分析报告》，详细分析了APT攻击的发展态势。《报告》指出，平均一个组织和单位每三分钟就会遭受一次恶意代码攻击，特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件;在所有遭受攻击的企业和组织中，拥有核心关键技术的技术类企业占比最高;在定向钓鱼邮件(spear phishing email)中经常使用通用的商业术语，具有很大的欺骗性;92%的攻击邮件都使用zip格式的附件，剩下的格式还有pdf等。

此外，国际上，尤其是美国着重炒作来自中国的APT攻击。最典型的是Mandiant公司发布的《对APT1组织的攻击行动的情报分析报告》，将APT1攻击行动的发起者直接定位到中国军方。在美国旧金山举办的RSA2013大会上，直接以中国APT攻击为主题的报告就有6个之多。其中有一个研讨会题为《中美的网络冲突和中国网络战研究》。演讲者是《二十一世纪的中国网络战》一书的作者。这个曾经在美国研读过中文的美国人从西方的视角来分析了中国的网络战战略、战术。

以防范APT攻击为引子，各国纷纷加强国家级的网络空间安全研究、相关政策制定与发布。美国、加拿大、日本、欧盟各国、北约等国家和组织纷纷强化其网络空间安全的国家战略，其中就包括应对包括APT在内的国家级的敌对方的攻击。ENISA(欧洲网络与信息安全局)、北约CCDCOE(协作网络空间防御卓越中心)、兰德公司、欧洲智库SDA公司都对世界主要国家的网络空间安全战略思想、安全威胁特征、安全防御水平等进行了较为深入的对比分析与研究。

各国对新型威胁的重视，也带动了整个网络空间安全市场的崛起。2012年6月份，MarketandMarket公司发布了一份市场分析报告，称到2017年，全球的网络空间安全市场将达到1200亿美元的规模，而在2011年市场价值已经有637亿美元。报告明确指出，网络空间安全未来将来首要应对的问题就是APT，此外还包括僵尸网络、传统蠕虫和病毒等。

国内

根据CN-CERT发布的《2012年我国互联网网络安全态势综述》，我国面临的新型威胁攻击的形势还是比较严峻的。利用“火焰”病毒、“高斯”病毒、“红色十月”病毒等实施的高级可持续攻击(APT攻击)活动频现，对国家和企业的数据安全造成严重威胁。2012年，我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。#p#

二、新型威胁的综合分析

综合分析以上典型的APT攻击，可以发现，当前的新型攻击主要呈现以下技术特点：

1) 攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现;

2) 攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，传统的邮件内容分析也难以奏效;

3) 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;

4) 初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;

5) 在攻击者控制受害机器的过程中，往往使用SSL链接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可以连接的分析能力;

6) 攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;

7) 还有的企业部署了内网审计系统，日志分析系统，甚至是安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从攻击行为的角度进行整合，发现攻击路径。

因此，在APT这样的新型威胁面前，大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。