攻防進(jìn)入白熱化　360威脅情報(bào)中心發(fā)步APT年度報(bào)告

?

近日，360威脅情報(bào)中心發(fā)布了《全球高級持續(xù)性威脅（APT）2018年報(bào)告》（以下簡稱報(bào)告），揭示了過去一年全球APT發(fā)展態(tài)勢。

2018年，APT威脅的攻防雙方處于白熱化的博弈當(dāng)中。作為APT防御的安全廠商比往年更加頻繁的跟蹤和曝光APT組織的攻擊活動(dòng)。

報(bào)告顯示，政府、外交、軍隊(duì)、國防依然是APT攻擊者的主要目標(biāo)，能源、電力、醫(yī)療、工業(yè)等國家基礎(chǔ)設(shè)施性行業(yè)也正面臨著APT攻擊的風(fēng)險(xiǎn)。而金融行業(yè)主要面臨一些成熟的網(wǎng)絡(luò)犯罪團(tuán)伙的攻擊威脅，如MageCart、Cobalt Group等等，其組織化的成員結(jié)構(gòu)和成熟的攻擊工具實(shí)現(xiàn)對目標(biāo)行業(yè)的規(guī)?；簦@與過去的普通黑客攻擊是完全不同的。除了針對金融、銀行外，電子商務(wù)、在線零售等也是其攻擊目標(biāo)。

?cription=編輯提供的本地文件 sourcename=本地文件 />

高級威脅攻擊活動(dòng)幾乎覆蓋了全球絕大部分國家和區(qū)域。進(jìn)一步對公開報(bào)告中高級威脅活動(dòng)中命名的攻擊行動(dòng)名稱、攻擊者名稱，并對同一背景來源進(jìn)行歸類處理后的統(tǒng)計(jì)情況如下，總共涉及109個(gè)命名的威脅來源命名?；谌旯_披露報(bào)告的數(shù)量統(tǒng)計(jì)，一定程度可以反映威脅攻擊的活躍程度。

cription=編輯提供的本地文件 sourcename=本地文件 />

其中，明確針對中國境內(nèi)實(shí)施攻擊活動(dòng)的，并且依舊活躍的公開APT組織，包括海蓮花，摩訶草，蔓靈花，Darkhotel，Group 123，毒云藤和藍(lán)寶菇，其中毒云藤和藍(lán)寶菇是360在2018年下半年公開披露并命名的APT組織。

而隨著APT攻擊的日益猖獗，現(xiàn)有的APT防御技術(shù)也面臨著非常大的挑戰(zhàn)。傳統(tǒng)的APT防護(hù)技術(shù)專注于從企業(yè)客戶自身流量和數(shù)據(jù)中通過沙箱或關(guān)聯(lián)分析等手段發(fā)現(xiàn)威脅。而由于企業(yè)網(wǎng)絡(luò)防護(hù)系統(tǒng)缺少相關(guān)APT學(xué)習(xí)經(jīng)驗(yàn)，而且攻擊者的逃逸水平也在不斷的進(jìn)步發(fā)展，本地設(shè)備會(huì)經(jīng)常性的出現(xiàn)誤報(bào)和漏報(bào)現(xiàn)象，經(jīng)常需要人工的二次分析進(jìn)行篩選。而且由于APT攻擊的復(fù)雜性和背景的特殊性，僅依賴于單一企業(yè)的數(shù)據(jù)經(jīng)常無法有效的發(fā)現(xiàn)APT攻擊背景，難以做到真正的追蹤溯源。360天眼則創(chuàng)新性的從互聯(lián)網(wǎng)數(shù)據(jù)進(jìn)行發(fā)掘和分析，由于任何攻擊線索都會(huì)有相關(guān)聯(lián)的其他信息被互聯(lián)網(wǎng)數(shù)據(jù)捕捉到，所以從互聯(lián)網(wǎng)進(jìn)行挖掘可極大提升未知威脅和APT攻擊的檢出效率，而且由于數(shù)據(jù)的覆蓋面更大，可以做到攻擊的更精準(zhǔn)溯源。360天眼系統(tǒng)已經(jīng)廣泛部署于公檢法、金融、政府部委、運(yùn)營商、石油石化、電力、教育、醫(yī)療等行業(yè)的300多家機(jī)構(gòu)，幫助這些機(jī)構(gòu)發(fā)現(xiàn)和處置超過百余起APT攻擊事件，包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠事件等APT攻擊。（安國平）

備注：數(shù)據(jù)僅供參考，不作為投資依據(jù)。