从短信链接到数据泄露，遍布全球的APT攻击如何影响到你？

随着大数据技术的发展，数据向多元、多源方向发展，且已成为国家基础性战略资源，正对全球生产、经济、社会和国家治理等活动产生重要影响。但各机构之间的数据孤岛问题突出，严重影响数据价值的释放。

2015 年，国务院发布《促进大数据发展行动纲要》，提出全面推进我国大数据发展应用的行动计划。

2016 年，国家发布《“十三五”国民经济和社会发展规划纲要》，提出要实施国家大数据战略，促进大数据创新应用，着力推动数据开放共享。

2019 年 11 月 1 日，中央首次在公开场合提出数据可作为生产要素按贡献参与分配。

2020 年 7 月工信部发布《关于工业大数据发展的指导意见》提出加快工业设备互联互通，推动工业数据高质量汇聚，统筹建设国家工业大数据平台，推动工业数据的开放共享。

2021 年 3 月发布的《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》中提到，重点发展大数据、区块链等数据经济重点产业，加快关键数字技术创新和产业数字化转型；加强公共数据开放共享，确保公共数据安全，推进数据跨部门、跨层级、跨地区汇聚融合和深度利用；加强网络安全防护，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、攻击溯源能力，加强网络安全关键技术研发，加快人工智能安全技术创新，提升网络安全产业综合竞争力；同时提到我们需要积极参与数据安全等技术研究与标准制定等工作，从而推动构建网络空间命运共同体。

2021 年 6 月 10 日，《数据安全法》在十三届全国人大常委会第二十九次会议中表决通过。《数据安全法》作为数据领域的 “上位法”，将数据安全推向了更高的层面，而高级持续性威胁（Advanced Persistent Threat， APT）对数据安全的威胁确没有降低，近年来因 APT 攻击导致的数据安全事件层出不穷，尤其是随着移动终端的应用广泛化、智能深入化，数据也逐渐暴漏在攻击者面前，给攻击者带来了可乘之机，尤其是具有专业组织、专业工具的 ATP 攻击。

ATP 攻击，即特定的组织（特别是政府直接或者间接支持的高水平黑客组织或者团体）对于特定的目标进行长期的、持续的、有计划的网络攻击形式和破坏行为。APT 攻击是以窃取高价值资产或者有目的的破坏信息系统为目标的，APT 一般具有三个特性，即高级性、持续性和危害性。

1）高级性主要体现在攻击者的情报收集能力、恶意代码编写及利用能力和漏洞利用能力方面，其中，情报收集与漏洞使用相辅相成，在丰富的情报基础上，熟练的使用专业的漏洞工具，达到 APT 攻击的目的。

2）持续性主要体现在特定的条件下，使用多种技术，对目标的长期监控，无论如何，攻击者的目光从未从目标群体离开，相关情报的收集也一直在进行中，只是在等待一个合适的时机。

3）危害性则体现在团队协作、多种完备技术及方法和健全的组织性方面，即大多数的 APT 攻击都是具备特定背景的网络攻击行为，是一种活跃在网络空间的间谍行为。

从这里可以看出，APT 既是技术词汇，也是政治词汇，是国家博弈和地缘政治在网络空间的一个折射，自 2006 年被美国空军信息战中心业务组指挥官 Greg Rattray 上校提出后，移动智能终端的发展，使 APT 由 PC 端蔓延至移动智能终端侧，移动智能终端的广泛使用及其高社会属性，给移动智能终端安全及网络空间安全带来了新的威胁，成为了 APT 攻击内网的一个新的跳板。

长期以来，APT 都是网络空间的巨大威胁，且频发的 APT 攻击成了网络空间安全的常态，随着发展，已经逐渐渗透到信息社会的各个角落，从早期的情报信息窃取威胁，到今天的针对网络基础设施、工业控制设施、移动智能终端，进行了全面的迁移，攻击是否发生只与目标承载的资产价值和更重要目标的关联度有关，而与攻击难度无关，日益革新的技术，在给经济生产等带来推动力的同时，也推动了 ATP 攻击相关技术的发展。

在 APT 的攻击模型方面，包括了杀伤链模型、钻石模型、TTP模型和ATT&CK模型等。

1）杀伤链模型，最初起源于军事中的 C5KISR 系统中的 K（kill），后由洛克希德-马丁公司（全球最大的国防工程承包商，根据 Cybersecurity 500 名单，洛克希德-马丁公司在全球上市网络安全企业中位列前十）提出网络安全杀伤链七步模型，用来识别和防护网络入侵行为。网络安全杀伤链七步模型包括侦测、武器化、投递、漏洞利用、安装、控制和目标行动等。

杀伤链模型

2）钻石模型是由 Sergio Caltagirone、Andrew Pendergast、Christopher Betz 在 2013 年论文 The Diamond Model of Intrusion Analysis 中提出的一个针对网络入侵攻击的分析框架模型。该模型由四个核心特征组成，分别为：对手（adversary）、能力（capability）、基础设施（infrastructure）和受害者（victim）。四个核心特征间用连线表示相互间的基本关系，并按 照菱形排列，从而形成类似“钻石”形状的结构，因此得名为“钻石模型”。同时，模型还 定义了社会-政治关系（对手和受害者之间的）和技术能力（用于确保能力和基础设施可操 作性的）两个重要的扩展元特征。该模型也认为，无论何种入侵活动，其基本的元素都是一个一个的事件，而每个事件都可以由上述四个基本核心特征组成。

钻石模型

3）TTP，该术语来自于三个英文词汇的首字母组合，即战术 Tactics、技术 Techniques 和过程 Procedures，是描述高级威胁组织网络攻击的重要指标，出自于《美国国防部军事及相关术语词典》，最早用于军事领域和反恐活动，后延伸到信息安全领域，并被用来描述相应 的过程。TTP 在网络情报中是核心信息，它与指标、事件、活动、攻击者、攻击目标有着密切的关联关系。

4）ATT&CK 也就是 Adversarial Tactics, Techniques, and Common Knowledge。顾名思义，这并不是一项技术，而是“对抗战术、技术和常识”框架，是更加底层“知识库”的基础框架，是由攻击者在攻击企业时会利用的 12 种战术和 244 种企业技术组成的精选知识库。它的着眼点不是单个的 IOC，而是 IOC 处于攻击过程中的上下文，也就是从点扩展到了面扩展到了链。当 ATT&CK 把那些翻阅字典一样，轻易地找到相对应的常见战术动作，甚至做到杀伤链还原，更好地应对攻击。

APT 最经典的防护模型之一则是滑动标尺模型，它来源于美国系统网络安全协会（SANS），主要应对日益复杂的网络环境和不断变化的攻击手段。

滑动标尺模型分为五大类别，这五大类别之间具有连续关系，并有效展示了防御逐步提升的理念。这五大类别不是固定不变的，且重要程度不是均等的, 每个类别的某些措施与相邻类别密切相关,实现网络安全目标，组织应构建安全根基和文化，并不断完善，滑动标尺模型还能潜在促进组织的安全成熟进程。

滑动标尺动态安全模型

（翻译自滑动标尺模型白皮书 The Sliding Scale of Cyber Security）

攻击与防御在不断的进行着博弈，争取各自最大的利益。在攻击方面，攻击手段和攻击 投放的方式越来越多样化，且现有的攻击者目前拥有了更加明确的组织，APT 威胁的归属问题也在发生变化，同时攻击的目标可能进一步延伸，比如说政府、外交、军队、国防，再比如说能源、电力、金融等。

在防御方面，随着攻击技术的不断的发展，0day 漏洞也在逐渐的延伸到包括 PC、服务器、移动终端、路由器、工控设备等多种类型的设备上，这就要求我们要进一步加强对 0day 漏洞能力的储备。在做防护之前，我们要清楚现有技术的一些缺陷，比如说高度依赖特征、基于已有知识体系、评价体系落伍、攻守不对称、缺乏关联能力、 对未知威胁缺乏感知等，这就要求我们关注攻防的基础，例如数据的重要性，在一些 APT 的案例中，支撑 APT 攻击最基础的也是最重要的就是情报的收集与分析，我们要关注新技术带来的机遇，但也要关注新技术给数据安全带来的挑战，在数据价值高度释放的同时，关注伴随而来的数据滥用、数据泄露、隐私薄弱等安全问题，在此基础上，构建动态可用的数据安全生态。

更多有关 APT 的最新内容，这本新书都有全面讲解哦。