360發(fā)布最新網(wǎng)絡(luò)安全報(bào)告：高級(jí)持續(xù)性網(wǎng)攻威脅我國(guó)多行業(yè)

來源：環(huán)球時(shí)報(bào)

【環(huán)球時(shí)報(bào)報(bào)道 記者 馬俊】在過去的2023年，全球面臨來自網(wǎng)絡(luò)空間的威脅變得更加嚴(yán)峻，其中組織性復(fù)雜、計(jì)劃性高效和針對(duì)性明確的攻擊活動(dòng)更趨常態(tài)化，高級(jí)持續(xù)性威脅（APT）攻擊成為網(wǎng)絡(luò)空間社會(huì)影響最廣、防御難度最高、關(guān)聯(lián)地緣博弈最緊密的突出風(fēng)險(xiǎn)源，直接影響到現(xiàn)實(shí)國(guó)家安全。360數(shù)字安全集團(tuán)1月30日發(fā)布《2023年全球高級(jí)持續(xù)性威脅研究報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）。《環(huán)球時(shí)報(bào)》記者發(fā)現(xiàn)，該報(bào)告顯示中國(guó)16個(gè)行業(yè)深受APT攻擊影響，教育科研領(lǐng)域受影響最大。360數(shù)字安全集團(tuán)安全專家在接受《環(huán)球時(shí)報(bào)》采訪時(shí)透露，這種趨勢(shì)與APT組織背后的政治勢(shì)力對(duì)我國(guó)高新技術(shù)發(fā)展的制約和打壓密切相關(guān)。

APT組織保持高活躍度

報(bào)告顯示，截至2023年12月，全球APT組織攻擊活動(dòng)保持高活躍度，全球網(wǎng)絡(luò)安全廠商以及機(jī)構(gòu)公開發(fā)布APT報(bào)告累計(jì)731篇，報(bào)告中涉及APT組織135個(gè)，其中屬于首次披露的達(dá)到46個(gè)。截至目前，360已累計(jì)發(fā)現(xiàn)54個(gè)境外APT組織，并于2023年最新捕獲到APT-C-57（沃爾寧）與APT-C-68（寄生蟲）兩個(gè)境外組織。

360安全專家在接受《環(huán)球時(shí)報(bào)》記者采訪時(shí)表示，APT組織不是普通的個(gè)人黑客，而是以國(guó)家級(jí)黑客組織為代表的高級(jí)別專業(yè)力量，其有組織、有背景的網(wǎng)絡(luò)威脅行為通常是得到國(guó)家支持、甚至是有國(guó)家或政治力量直接參與。APT組織憑借先進(jìn)的網(wǎng)絡(luò)武器技術(shù)和復(fù)雜的攻擊手法，針對(duì)全球目標(biāo)展開自動(dòng)化、體系化和智能化的網(wǎng)絡(luò)攻擊，不僅對(duì)國(guó)家政府及要害部門進(jìn)行持續(xù)監(jiān)視與間諜活動(dòng)，甚至對(duì)于一國(guó)政治、經(jīng)濟(jì)、社會(huì)、國(guó)防軍事等方面的威脅也在不斷加深。一旦APT組織對(duì)整個(gè)國(guó)家的基礎(chǔ)單位進(jìn)行網(wǎng)絡(luò)攻擊，將可能導(dǎo)致交通、銀行、航空、水電系統(tǒng)癱瘓，對(duì)國(guó)家政治穩(wěn)定、經(jīng)濟(jì)發(fā)展造成嚴(yán)重影響。

據(jù)360安全云監(jiān)測(cè)，我國(guó)是APT攻擊活動(dòng)主要受害國(guó)之一。360全年監(jiān)測(cè)到13個(gè)境外APT組織針對(duì)我國(guó)的APT攻擊活動(dòng)1200多起，相關(guān)APT組織主要?dú)w屬北美、南亞、東南亞和東亞地區(qū)。值得注意的是，APT攻擊手法持續(xù)更新升級(jí)，目標(biāo)擴(kuò)散，攻擊深入，尤以美國(guó)發(fā)動(dòng)的APT攻擊最甚。來自美國(guó)的APT組織針對(duì)全球的網(wǎng)絡(luò)攻擊行為早已呈現(xiàn)出自動(dòng)化、體系化和智能化的特征，攻擊手法復(fù)雜，幾乎可以覆蓋全球所有互聯(lián)網(wǎng)和物聯(lián)網(wǎng)資產(chǎn)，攻擊者為達(dá)到軍事、政治偵察目的，可以隨時(shí)隨地控制他國(guó)網(wǎng)絡(luò)，竊取關(guān)鍵數(shù)據(jù)。

我國(guó)教育科研領(lǐng)域受影響最大

2023年全球網(wǎng)絡(luò)安全機(jī)構(gòu)披露的APT攻擊活動(dòng)中，政府、國(guó)防軍工、信息技術(shù)、教育、金融等為主要受攻擊影響行業(yè)。據(jù)360安全云監(jiān)測(cè)，我國(guó)受影響重點(diǎn)目標(biāo)涉及16個(gè)行業(yè)領(lǐng)域，受影響行業(yè)前五分別為：教育、政府、科研、國(guó)防軍工、交通運(yùn)輸。

我國(guó)受APT攻擊影響TOP10行業(yè)分布

該報(bào)告顯示，我國(guó)受APT攻擊影響單位中，教育科研行業(yè)占比超過50%，這里也逐漸成為我國(guó)與境外APT組織攻防對(duì)抗的核心戰(zhàn)場(chǎng)。360安全云通過分析發(fā)現(xiàn)，部分針對(duì)教育科研領(lǐng)域的攻擊活動(dòng)中，攻擊者出現(xiàn)利用已攻陷的資源，如使用竊取的文檔數(shù)據(jù)、聯(lián)系人信息等，實(shí)施對(duì)目標(biāo)的進(jìn)一步精準(zhǔn)攻擊，以擴(kuò)大攻擊成果。

從地域分布看，我國(guó)受APT攻擊影響的單位，集中分布于東南沿海和政治經(jīng)濟(jì)中心區(qū)域。這與我國(guó)基礎(chǔ)設(shè)施行業(yè)、教育科研重點(diǎn)資源、國(guó)防軍工核心單位地域分布情況存在相關(guān)性。

按職能看，政府機(jī)構(gòu)歷年來一直是APT攻擊的核心目標(biāo)領(lǐng)域，政府機(jī)構(gòu)下的海事機(jī)構(gòu)、駐外機(jī)構(gòu)、金融監(jiān)管以及交通管理等是受APT攻擊影響的重點(diǎn)。隨著我國(guó)國(guó)際影響力的不斷提升，外事和駐外機(jī)構(gòu)所掌握的政治、經(jīng)濟(jì)貿(mào)易來往數(shù)據(jù)，以及我國(guó)對(duì)外政策方針，直接關(guān)系到各國(guó)與中國(guó)的核心利益。這需要我國(guó)外事相關(guān)機(jī)構(gòu)引起足夠重視，以有效防范各類針對(duì)性的滲透攻擊。

APT攻擊活躍有特殊背景

該報(bào)告還顯示，數(shù)字技術(shù)的發(fā)展也助推了網(wǎng)絡(luò)攻擊的深化泛化，全球APT攻擊活動(dòng)進(jìn)入新一輪活躍期。2023年APT組織在網(wǎng)絡(luò)攻擊活動(dòng)中使用的在野0day漏洞共計(jì)56個(gè)，涉及11個(gè)廠商的16個(gè)產(chǎn)品，總體數(shù)量超過2022年，處于近幾年0day漏洞利用數(shù)量的高位。從2023年披露的APT攻擊利用的0day漏洞分布看，漏洞集中分布在影響面廣的瀏覽器軟件和操作系統(tǒng)，其中針對(duì)移動(dòng)端系統(tǒng)0day漏洞利用數(shù)量增長(zhǎng)明顯。

尤其值得注意的是，伴隨美國(guó)對(duì)中國(guó)高新科技領(lǐng)域的封鎖政策變本加厲，2023年針對(duì)我國(guó)的芯片、5G等高科技領(lǐng)域的攻擊顯著增多，涉及多個(gè)方向APT組織，其中以美國(guó)方向APT-C-39（CIA）組織最為典型。360在對(duì)該組織的持續(xù)跟蹤中捕獲到該組織針對(duì)我國(guó)芯片、5G通信等領(lǐng)域目標(biāo)的攻擊活動(dòng)。360安全專家對(duì)此表示，在人工智能、新能源電池、半導(dǎo)體、微電子、量子信息技術(shù)等關(guān)鍵核心技術(shù)領(lǐng)域，全球各國(guó)紛紛加快了產(chǎn)業(yè)布局和產(chǎn)能爭(zhēng)奪。而多個(gè)APT組織針對(duì)我國(guó)芯片、5G等高科技領(lǐng)域的攻擊滲透，實(shí)際是配合其背后政治勢(shì)力，在網(wǎng)絡(luò)空間實(shí)施對(duì)我國(guó)高新技術(shù)發(fā)展的制約和打壓。這警醒我們?cè)趹?yīng)對(duì)APT攻擊威脅時(shí)，應(yīng)該同時(shí)關(guān)注攻擊者背后的政治勢(shì)力，認(rèn)清攻擊威脅目的和全貌。

同時(shí)地理、地質(zhì)測(cè)繪機(jī)構(gòu)掌握的測(cè)繪數(shù)據(jù)也屬于高價(jià)值情報(bào)和重要戰(zhàn)略性數(shù)據(jù)資源，2023年APT組織對(duì)我國(guó)地理、地質(zhì)測(cè)繪領(lǐng)域攻擊活動(dòng)同樣明顯增加。由此可見，APT組織在網(wǎng)絡(luò)空間的攻擊和竊密，逐漸成為隱藏在其背后政治勢(shì)力獲取競(jìng)爭(zhēng)優(yōu)勢(shì)，刺探各種情報(bào)，實(shí)現(xiàn)政治乃至戰(zhàn)略目的常規(guī)手段。例如2023年7月，國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心和360集團(tuán)聯(lián)合處置了美國(guó)組織對(duì)武漢市地震監(jiān)測(cè)中心的網(wǎng)絡(luò)滲透攻擊。地震監(jiān)測(cè)中心的地震烈度數(shù)據(jù)與國(guó)家安全息息相關(guān)，通過地震烈度數(shù)據(jù)可以還原出我交通、能源、軍事等重要領(lǐng)域特定區(qū)域的三維地貌圖，如果數(shù)據(jù)泄露將嚴(yán)重威脅我國(guó)軍事安全和國(guó)家安全。

如何應(yīng)對(duì)新一輪APT攻擊

360集團(tuán)安全專家認(rèn)為，2023年對(duì)我國(guó)展開攻擊活動(dòng)的APT組織，攻擊目標(biāo)大都涉及我國(guó)教育和科研領(lǐng)域，尤其以西北工業(yè)大學(xué)被APT-C-40（NSA）組織網(wǎng)絡(luò)攻擊事件為代表。這類攻擊活動(dòng)以此作為突破口，對(duì)我國(guó)國(guó)防軍工科技創(chuàng)新體系進(jìn)行滲透和竊密。

面對(duì)境外APT組織的威脅，如何高效率構(gòu)建實(shí)戰(zhàn)化安全防御體系，快速獲得安全能力成為關(guān)鍵。作為應(yīng)對(duì)思路，該專家建議，首先需要利用大數(shù)據(jù)建立全網(wǎng)安全事件檔案，捕捉網(wǎng)絡(luò)攻擊蛛絲馬跡，幫助用戶對(duì)威脅攻擊有所防備。

其次，需要提前布防，具備快速、及時(shí)發(fā)現(xiàn)安全線索并同時(shí)支持安全威脅就地處置的能力。這需要應(yīng)用人工智能技術(shù)提升自動(dòng)化和智能化水平，對(duì)海量安全事件實(shí)現(xiàn)自動(dòng)化分析、篩選和關(guān)聯(lián)，快速發(fā)現(xiàn)攻擊線索并采取自動(dòng)響應(yīng)，提升安全防御效率。

此外，要應(yīng)對(duì)APT組織的攻擊，需要由漏洞挖掘、威脅檢測(cè)、情報(bào)分析等各相關(guān)專業(yè)組成的多層級(jí)專家團(tuán)隊(duì)，進(jìn)行7×24小時(shí)不間斷的持續(xù)發(fā)現(xiàn)、分析、響應(yīng)、處置，同時(shí)能快速發(fā)現(xiàn)異常、阻止安全事件發(fā)生以及在事件發(fā)生后迅速響應(yīng)、及時(shí)止損。

該專家還表示，由于網(wǎng)絡(luò)安全事件的處置對(duì)于時(shí)效性有著極高要求。在發(fā)生重大網(wǎng)絡(luò)安全事件時(shí)，相關(guān)單位也應(yīng)該主動(dòng)積極上報(bào)，以便政府、安全廠商、組織機(jī)構(gòu)等多方協(xié)同參與，形成強(qiáng)大合力，盡早發(fā)現(xiàn)威脅，盡快處置威脅，最大限度降低網(wǎng)絡(luò)攻擊造成的影響和危害。