这是在网上查到的资料,攻击目标跟以前很不一样,以为我们经历过的目标就是将来用到的,攻击方法有不同,过去我自己有超过十年的处理经验,学习了大量的东西,都是在实践当中学到的方法,但是对于APT来说是不够的,前面有一个目标很明确,前面有人讲过安全,在很多,在云的战略上,有一个前提,APT攻击目标是非常非常精确的,很多种方法可以绕过云安全,我们自己国内也是一样,所以这些工具方法我们见都没有见过,发生的时候,都知道伊朗的核电站是被攻击的才知道。
中国我们都知道我们有5亿个网民,互联网规模也很大,影响也很大,中国的网络,是不是APT的工作目标?显然肯定是的,为什么在国外的案例里面没有一个来分析中国受到APT攻击的这样的案例?为什么中国人没有?我们自己没有?4月6日,观众我觉得没有看明白,我们不知道,但是作为安全来说,我们第一要做的是什么?改变发生安全事件我们要知道,我们连知道都不知道的话,怎样应对安全事件,仙山中国到目前为止,我们没有这样的APT的案例,应对国外的中国威胁的时候,依然只能拿出来我们以前的过去十年我们一直做的宏观网络检测,可以拿出来说,2010年的控制,23%是美国的IP在控制,仅此而已,看起来我们的数据很炫,但是我们没有一个APT的案例,它是一个威胁的案例,会告诉里你的公司明天竞标不行,信息泄漏会导致你公司明天垮台,现在就是有这样的公司。面对目前更加严重的安全威胁,我们出现了严重的能力缺失,我们是谁?我们不光是中国,我们这样的机构和整个国家,也包括在座的各位,你的公司真的了解安全威胁吗?区分出来哪些事件是重要的?哪些是不重要的,哪些是可以优先处理的吗?每年面对新的恶意代码,我们该怎么处理?我们把任何一个安全事件,做这样的一个东西。这个是我们的现状。
很不幸的话,APT的目标是什么?选择的目标是什么?一般的黑客谁会去攻击伊朗核电站,我们可能在外面看到的这些,以追求经济利益为目标里面,会从各种各样的途径收钱,不会有国家投钱,自己赚的钱,放在安全行业当中了,这个产业链早就超过了,APT,或者政府会选择不同的目标,通讯行业就是这样,以前很多人都不认为是,其实在去年的4月份,就到处讲,我们通信行业,就是这种政府发起冲击的非常性的,只是这种攻击是看不出来的,并不会像一个病毒一样哪天发布一下,而是潜伏那里。我看到有真实的案例是这样的,只不过不好很直白的讲。APT因为有非常大的价值,只是这个价值不能简单说,我攻击这个行业。
作为通信行业,我们对他的安全的理解,其实从两个角度来看,一个是我们的自己,一个是攻击者,通信行业本身可以发生很大变化,就是所谓新一代信息技术在我们十二五规划当中提出这个词,新一代是什么?没有定义,总结七个特点,在这里面有四个,新一代市场是宽带化、泛在的,移动的,智能的。我们搞安全的要想到所有的这些特点在安全上意味着什么?我也不展开讲了。
宽带对安全攻击的,我们原来认为不可能实现的一些攻击方法在这种情况下都可以很轻松的实现,我们原来不认为可以实现的方法,在防护上面也不会注意,这就存在了无穷多的新的漏洞。APT或者政府发起的攻击,动机不同,引发技术层面一大堆的问题,可以选择的目标,可以掌握的资源,谁会掌握这么多,最来没有人知道的这么严重的社会资源?谁可以掌握我在互联网的路由网络里面,可以注入一条所有伙伴都相信的,谁可以掌握类似比如说 谷歌,掌握的巨量的战略层面的数据进行分析。这个都是不同于一般人的力量。拥有不同的能力,使用不的方法,我们就不展开讲了。
我们看看现在的我们的通信行业很多情况下都是这样的,高级的威胁就是这样,每年我们面临很多很多新的病毒,我们说过这种病毒都有过,我们面临很多很多事件,我们对这些信息淹没在这里,SARG有优先,天天这样喊,还有什么,最后结果我们根本不知所措,不知道该怎么处理,人力人员都有限,知识也有限,怎么处理。到最后我们仅仅成为实践者,到底面临什么威胁?不知道,对于企业、用户、国家来说,面对的安全风险是什么?这里的风险不是指的风险评估的风险。
对于应对这种阶段威胁的必要能力,我要能力知道新威胁的能力,还有必要的能力。我想简单的探讨一下,积山APT有一些基本的特点,至少会用到O,意味着当你所有的某一种安全设备,发现了这个攻击事件的时候,在他的能力涉及之前,在他之前就已经到达了,你可以自欺欺人的说,我立即升级了,所有的安全威胁我都知道,你这是自己骗自己,昨天利用这个已经进入的,人家拿走的东西也不管了,清除掉了,你就说安全的可以做了,社会工程学是普遍使用的,哪一种产品可以拿进来?APT通常都是非常对的,不会说误打误撞的,我们会来捕捉,不会捕捉到APT的,因为那些是瞎蒙瞎撞的。
