压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

主持人：我們非常高興看到方興分享瀚海源的最新成果，下面有請國家網絡信息安全技術研究所的王永剛博士帶來演講《不積跬步，無以至千里—換個角度看APT》。

王永剛：各位下午好，前不久大家都知道一場霧霾襲擊了整個中國，大家在霧霾里也看不清整個城市，正如搞安全的人士看不清APT一樣，當然很多人士自以為自己能看得清，APT到底是什么，如何應對，它的應對措施真的像我們想的那么簡單嗎？今天我報告第一理解APT，第二理解一些問題和挑戰，第三探討一些應對的思路。搞安全的人面對APT的時候我們有這么一句話的感慨，怎么突然就不行了，在APT面前，我們春秋的網絡信息安全的手段突然就不能抵擋APT的攻擊。

國外的案例相信大家都研究過，我們也對他們進行過研究和比較，這些攻擊的案例都有一些共同的點，比如他們普通使用的攻擊手段，利用了多個漏洞，最后有相當一部分是竊密。在未知的漏洞，未知的代碼，加密的通訊背后APT到底是什么？今天為什么要換個角度看？大道至簡，我剛才跟譚總也匯報了一下，APT就是精準目標攻擊，為什么這么說呢？跟傳統的網絡安全的攻擊相比，APT有一些區別，傳統的攻擊我形容為賊偷，現在的APT是賊惦記。傳統是打哪兒指哪兒，APT是指哪兒打哪兒，是一個精準目標的攻擊。從左邊可以理解為什么現在傳統的方法應對APT是不行的，從右邊的部分你也可以理解APT并不是一個新型的技術。所以，有些人說APT是炒概念也是有一定的道理。

APT的出現其實也是必然的，也是社會發展的某一種規律，因為針對這種特定目標的攻擊，一方面現在輕易得手的有價值的目標越來越手，而且另外一方面對手水平的不斷提升，防范的嚴密使得攻擊者必然會采用持續性的嘗試，引入更高級的手段。為什么大家一直描述不清楚，只是威脅的性質不同，從賊偷變成了賊惦記。

目前我們現在的技術能力，現在發展和存在什么樣的問題，從國家層面來講，國家網絡安全事件發現能力從2001年到蠕蟲，2003年木馬、網站，2005年僵尸網絡、木馬等等，也取得了一些效果，但是也存在一些不足，最主要是高位監測的問題。

為什么傳統的方法不行？大家有沒有考慮過現在所有的手段，我們現在做了一件蠢事兒，我們試圖對APT進行一個描述，試圖一下子把問題解決，這才是問題的所在，我們忽視了動機的分析，試圖建立部署一套系統就能抵擋APT，或者局限于技術手段的層面被動的抵擋。傳統的思路在應對APT方面是存在一定的短板，這邊我點了一個更生動的例子，國內案例大家一直找不著，我今天給大家找了一個，為什么稱它為APT，首先第一它是利用了社會工程學，因為報復者和被報復的法官存在著親戚的關系，第二他到前臺說我錢包丟在這兒了，能不能讓我翻看一下錄像。第三他以竊密為一定的目的，把錄像拷貝走了，并且發到網上，實施了一個精準目標的攻擊。

誰可以在網絡空間中發起APT攻擊，誰又會成為APT的目標？說到這兒我們要關注一下對手和動機，剛才方總也提到威脅，對手和動機從2001到2004年，小黑客都沉浸在白開心的狀態，之后是利用木馬、僵尸網絡淘黑金的方式，后來是純小偷，從2007年到現在，最后從2010年開始百無禁忌的APT時代，大玩家終于進場了。

前一段我參加VARA大會，楊義先教授提出全球信息安全的六大戰略錯誤，錯誤一就是賽博空間是最返祖的野蠻社會，所以，才會產生APT攻擊的現象，每個人都可能成為APT精準目標攻擊的對象。

為什么要分析動機？一個完整的時間有攻擊發起方，攻擊受害者和攻擊采用的方法，為什么分析攻擊？安全威脅涉及兩個方面，第一是外在動機，第二是內在隱患，對于一些安全事件這六個W左邊是動機的范疇，右邊是隱患層面的東西。大玩家關注的不僅僅是傳統的網絡安全，它的觸角涉及到金融、移動互聯網、大數據和云計算。

APT不僅僅是信息的竊取，對基礎設施可以做多種多樣的攻擊和破壞。所以，在美國人對動機進行了一些區分、防御和進攻，對于Payload有三個層面的區分，進攻的怎么樣，防御的怎么樣，將來作為一個前提又會怎么樣。

導致安全能力不適應的核心到底是什么？《孫子兵法》說知己知彼百戰不殆，不知彼已經成為共識，但是我們也不知彼，新技術的特點使得我們心有余而力不足。

和國外存在的差距，威脅和安全事件的認知偏差等等。

什么是威脅？什么是事件？從技術人員的角度來講很容易理解狹義的事件，讓我查殺一個病毒、木馬、阻斷入侵，防范一個漏洞，公眾是從攻擊事件的影響，造成多少損失，多少公司倒閉了。威脅怎么理解？事件強調已經發生的，威脅更強調潛在的事兒，涉及到更多來源、動機、危害性的關注。APT并不是API。

之前我們的安全報告，每年國內包括我們所都會出很多報告，控制了多少IP、網站，發現多少漏洞，還在堆數量的階段，別人的安全報告已經開始圍繞威脅展開，比如什么樣的組織，可能什么人在什么地方做了什么事兒，產生了多大的危害。所以，不同之處在于他對攻擊的事件不僅要詳細知道攻擊事件的方法，還需要知道攻擊者的動機，更需要知道目標對象會造成什么損失。所以，我們應該應對的是威脅還是事件？應該應對的是威脅，僅僅應對事件我們會越來越被動，面對高級的安全威脅，特別是APT，我們這種做法必然失敗。所以，技術以外的因素需要區分危機和目的。所以，APT的應對是一個綜合能力的應對，而不是對某些的定技術的應對。所以，我們的安全問題面臨哪些問題和挑戰，很遺憾的講我們目前是全面能力的缺失，從漏洞評估，風險評估，應對能力等。分析能力同樣也面臨一些挑戰，真正的分析變的更加困難。

所以，未來的路在哪兒？我們前不久中心牽頭跟幾家單位，包括移動通信，還有啟明一起成立了網絡安全應急技術國家實驗室，希望能為網絡安全檢測和抵御做一些工作。

我們總結起來，圍繞國家需求研制的實驗平臺，并且基于實驗平臺開展技術的研發。

未來的模式，有一個核心的基因團隊來建設一個國家級的基礎數據綜合情報與知識庫，這個知識庫的知識是來源于多方面的，主要是網絡監測、評估檢測，探測和情報監測，并且在這個知識庫的基礎上進行綜合性的大數據的關聯的深度分析，一方面為國家進行支撐，另一方面可以支撐國家的應急響應的決策支持系統，對行業來講支持行業基于集中式的裝備和服務體系。

新一代的安全能力和定制的安全異常的發現，國家級支持體系的建立，四個字，第一搏，從事件到威脅，關注攻擊者的目的和危害，大是大數據的應用，這幅圖片大家一看不知道是什么，基于大數據最后可以得出這樣的結果，是大象身上的一塊皮膚。我們需要國家級層面的基礎的網絡信息安全的支持去抵御APT。國家級的APT并非一味的擴張的，需要后期對帶外數據能夠整合進來進行綜合的關聯分析。精，顧名思義，在行內，包括研究所研發出更加精良的攻擊性的或者防御性的工具。深度分析，深度代碼分析，深度事件分析，深度數據分析。博多維度的知識構建，異常感知，大，大事業的分析與應對思路。精，強調細節與海底撈針。深，深度分析和洞察。進行關聯分析和深度分析。

企業可以做什么，我總結了幾點，急需形成的六大能力。第一是軟件安全開發和復雜系統安全測試能力。今天早上我導師也提到北大大二的學生學習編程的時候已經灌輸這種安全編程的概念。第二是面向重點目標和大規模復雜系統的風險評估能力。第三是圍繞漏洞和惡意代碼分析的基礎能力。第四威脅預警和分析評估能力。第五復雜場景的應急響應能力。第六，主動的防御能力。

回到片子的圖片，經過國家級技術支持體系的建立，并且引入大數據進行深度分析，這樣的話才能走在抵御APT正確的道路上。謝謝大家。