国际间的APT攻击到底有多可怕？
稿源：极客公园
大卫&莱特曼是一个电脑少年天才，一天，他搜索破解了一台网络电脑，玩上了一个叫做「全球热核战争」的游戏。不曾想这竟是美国军方电脑，隐藏在游戏之后的竟是战争计划响应系统。大卫的游戏即将引发军方核弹的自动发射，他不得不用自己的黑客技术来阻止这场战争&&
电影《War Games》中的情节在今天已经成为现实，黑客攻击与核武器、国家间的信息安全越来越多地纠缠在一起。
2010 年，卡巴斯基的一位安全专家发现在 U 盘上存在一种特殊的病毒&&震网病毒。通过分析震网，揭穿了伊朗核电站遭受的多年黑客攻击。这次攻击是某个国家为阻止伊朗核武器计划，通过高强度手段渗透进伊朗物理隔离的最高绝密核电站网络。攻击的强大和可怕在于&&渗入一个国家的最高机密，并且能够穿透物理隔离网。
这种攻击就是 APT（Advanced Persistent Threat），一种高级持续性的攻击模式。APT 并不特定指某种病毒，而是黑客利用先进的攻击手段对特定目标进行长期、持续性网络攻击的形式。
APT 攻击的目标，通常是高价值的企业、政府机构以及敏感数据信息。主要目的是窃取商业机密，破坏竞争甚至是国家间的网络战争。
国家和国家之间的 APT 攻击，已经变得非常可怕。斯诺登曾为美国国家安全局进行基础设施分析，他掌握了美国国家安全局大规模搜集个人信息的计划，这些计划中的黑客技术是很多安全专家都无法想象的。今天我们已经发现的震网攻击仅仅是美国 05 年的水平，安全专家说，现在的技术已经发展到即便你的电脑不插上电源线都有可能被黑客窃取到信息。
「棱镜事件」爆发后，中国已明确成为遭受国际网络攻击最严重的国家之一。
在 APT 攻击技术现状上，美国一支独秀，其他国家力量均衡。这所以形成这样的格局，是因为互联网的很多基础设施都是由美国确立的，比如基础协议、路由器、CPU 芯片和操作系统。
APT攻击数量持续上升（来源：百度百科）
攻击者的潜伏链路
直到 2012 年，火焰病毒被曝光之后，大家才明白，伊朗的核武器被攻击早在 05 年就开始潜伏了。攻击者利用微软软件在认证上的一个安全漏洞：登陆时，你必须证明你是 A，但是攻击者可以伪造出一个假的 A 身份，却不被发觉。利用这个漏洞，攻击者在中东大量散布火焰病毒，控制了中东几百万 PC 主机，收集了大量主机上的邮件、聊天等各种各样的信息。通过个人隐私信息做情报和数据的分析，最终锁定其中十～二十台设备。
这些设备是伊朗核物理研究人员的家人，黑客就锁定这些设备发起密集攻击，一旦这十多台主机当中有一个 U 盘接入，震网病毒就会散入到这个 U 盘当中。如果这个 U 盘被工作人员带回到物理隔离的主机上，震网就会利用系统漏洞，控制主机。
黑客修改了核电站离心机的转速，比如原来正常是 30 转，改成 60 转，但是给工作人员显示的还是正常转速，工作人员根本不知道是什么原因导致的，最终伊朗核电计划五分之一的离心机报废。直到 12 年，病毒偶然在 U 盘上被发现，才使得整个攻击事件曝光，阻断了攻击链条。
传统的安全产品是没有办法阻挡这些专业未知的攻击。APT 攻击是长期持续性的，攻击者寻找漏洞，构造专门代码，并开发针对受害者特定环境和防御体系的特种木马。这些特定代码都是防护者或防护体系所不知道的未知威胁。
进入云计算时代，APT攻击更容易借助云拓展。云与安全也成为矛与盾的关系，将数据聚集在云端，则被攻击的风险更高。同时，安全专家通过云，掌握的数据更多，则更容易发现安全隐患，追踪黑客。最近国内阿里巴巴并购安全公司瀚海源，百度收购安全宝，都与旗下云业务安全问题密切相关。
病毒发现时，为时已晚
在APT型攻击中，攻击者很聪明，他们有针对的目标，在攻击的时候只针一个攻击目标，避免大量散播。当病毒被发现的时候，攻击往往已经发生好多年，攻击者把该拿走的信息都拿走了。
另一起可怕而相似的攻击是在 2013 年，韩国农协银行。当时农协银行将 IT 系统外包给 IBM，IBM 的一位施工人员在午间休息时获取了一个免费电影链接，晚上就用自己的电脑看电影。据说这个链接是由朝鲜黑客制作的，IBM 员工把电脑上的病毒传染给了银行 IT 系统，黑客近而侵入农协银行 2 个月。2 个月的时间里，黑客不仅破坏银行正在运行的 IT 系统，还破坏了全部数据副本。最终农协银行系统瘫痪，全部数据都丢失。一部分纸质数据通过人工上传回系统，而网上交易数据已经永远无法找回，农协银行不得不停业 3 天，在后期赔偿中付出了巨大的代价。
现在，APT 攻击已经逐步受到了整个业界的重视，在中国也发生了一个案例。13 年 12 月底，一次 APT 攻击被成功捕获，当时黑客向国内政府机构的办公人员发放钓鱼邮件。邮件发件人以「2014 年中国经济形势解析高层报告组委会」的标题发出，如果政府工作人员用 WPS 打开文件，就会被感染病毒，而且这种病毒无法被杀毒软件查杀。攻击者就是利用 WPS 版本 0DAY 漏洞试图侵入政府办公人员电脑。
当这个攻击被发现时，攻击者在 2 个小时内就快速把控制端的服务器停掉。这说明攻击者时一个非常专业的组织，非常了解国内谁在做安全防护，黑客快速撤退让后期取证变得非常艰难。表面上看，这次攻击被快速地阻断。
但是攻击者始终存在，他们不会因为一次阻断而消失，并会采用全新的招法再次发起攻击。
面对这种涉及到国际、机密信息的安全对抗，本质上是人和人在智力知识和情报体系上的相拼。攻击者是高智力的人，是专业有知识有组织的黑客。攻击者往往对被攻击者深入了解，知道有价值的资产在哪里，对方的系统构成是怎样的，对方的组织架构是怎样的，而且往往通过人员的组织架构渗透完成攻击。
网友关于携程网安全问题微博。携程安全问题已经不止出现一次，而前不久的数据泄漏成为安全业界讳莫如深的话题。有传言是竞争对手导致，或者员工肆意报复。但在云计算时代，信息被更多地聚集到&母体&，我们是否要更多反思自己是否给了黑客可乘之机？
2014 年 12 月，在国内云平台阿里云上也被检测到一起攻击。通过对整个攻击进行情报追踪分析，发现攻击者的攻击面已经非常大，遍及三万多台主机，阿里云和国外的云平台都成为被攻击的对象。黑客控制这些主机的目的就是窃取特定国家的公民隐私，60 万个国家公民的信息已经被窃取。
安全专家锁定到的攻击者个人主页。
通过对攻击者控制的木马病毒监控追踪，发现了攻击者用来进行内部通讯的一个 IRC 服务器，最终在互联网上锁定这次攻击的黑客组织，这一组织从 2000 年成立，十年间攻击了大量政府的网站。直到 2014 年 10 月份，通过这次大规模攻击，他们掌握了大量的资源，在一些黑客地下论坛开始招募成员。从攻击者窃取的公民信息看，他们的背景可能有 2 种，第一是国家政府的行为，为的是收集更多国家的个人信息。第二种可能就是黑色的地下产业链，比如诈骗集团，为了获取高机密的金融信息。
有好的文章希望站长之家帮助分享推广，猛戳这里
本网页浏览已超过3分钟，点击关闭或灰色背景，即可回到网页?C、可信路径D、用户账户控制；3.操作系统面临的安全威胁是（D）；?A、恶意代码B、隐蔽信道；?C、用户的误操作D、以上都是；4.CC被认为是任何一个安全操作系统的核心要求；12.3确保系统的安全性采取的措施，不正确的是（；A、及时清理账户B、设定密码策略；?C、重命名管理员账户D、启用Guest账户；2.可用于对NTFS分区上的文件和文件加密保存的；?A
? C、可信路径D、用户账户控制 3.操作系统面临的安全威胁是（D）。 ? A、恶意代码B、隐蔽信道 ? C、用户的误操作D、以上都是 4.CC被认为是任何一个安全操作系统的核心要求。（×） 12.3确保系统的安全性采取的措施，不正确的是（D）。 ? A、及时清理账户B、设定密码策略 ? C、重命名管理员账户D、启用Guest账户 2.可用于对NTFS分区上的文件和文件加密保存的系统是（C）。 ? A、BitlockerB、IIS ? C、EFSD、X―Scan 3.设置陷阱账户对于系统的安全性防护作用不大。（×） 13.1之所以认为黑客是信息安全问题的源头，这是因为黑客是（C）。 ? A、计算机编程高手B、攻防技术的研究者 ? C、信息网络的攻击者D、信息垃圾的制造者 2.第一次出现“Hacker”这一单词是在（B）。 ? A、Bell实验室B、麻省理工AI实验室 ? C、AT&A实验室D、美国国家安全局 3.黑客群体大致可以划分成三类，其中黑帽是指（C）。 A、具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人 B、主观上没有破坏企图的黑客，热衷于发现漏洞和分享漏洞的人 C、非法侵入计算机网络或实施计算机犯罪的人 D、不为恶意或个人利益攻击计算机或网络，但是为了达到更高的安全性，可能会在发现漏洞的过程中打破法律界限的人 4.黑客群体大致可以划分成三类，其中白帽是指（B）。 A、具有爱国热情和明显政治倾向、非官方的、使用技术来“维护国家和民族尊严”的人 B、主观上没有破坏企图的黑客，热衷于发现漏洞和分享漏洞的人 C、非法侵入计算机网络或实施计算机犯罪的人 D、不为恶意或个人利益攻击计算机或网络，但是为了达到更高的安全性，可能会在发现漏洞的过程中打破法律界限的人 13.2一种自动检测远程或本地主机安全性弱点的程序是（）。 ? A、入侵检测系统B、防火墙 ? C、漏洞扫描软件D、入侵防护软件 2.黑客在攻击过程中通常进行端口扫描，这是为了（D）。 ? A、检测黑客自己计算机已开放哪些端口B、口令破解 ? C、截获网络流量D、获知目标主机开放了哪些端口服务 3.攻击者将自己伪装成合法用户，这种攻击方式属于（D）。 ? A、别名攻击B、洪水攻击 ? C、重定向D、欺骗攻击 4.黑客在攻击过程中通常要入侵“肉鸡”作为跳板进行攻击，这是为了（B）。 ? A、显示实力B、隐藏自己 ? C、破解口令D、提升权限 5.以下对于社会工程学攻击的叙述错误的是（）。 A、运用社会上的一些犯罪手段进行的攻击 B、利用人的弱点，如人的本能反应、好奇心、信任、贪便宜等进行的欺骗等攻击 C、免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，都是近来社会工程学的代表应用 D、传统的安全防御技术很难防范社会工程学攻击 13.3以下哪一项不是APT攻击产生的原因（D）。 ? A、APT攻击已成为国家层面信息对抗的需求 ? B、社交网络的广泛应用为APT攻击提供了可能 ? C、复杂脆弱的IT环境还没有做好应对的准备 ? D、越来越多的人关注信息安全问题 2.以下对于APT攻击的叙述错误的是（C）。 ? A、是一种新型威胁攻击的统称 ? B、通常是有背景的黑客组织，能够综合多种先进的攻击技术实施攻击 ? C、通常不具有明确的攻击目标和攻击目的，长期不断地进行信息搜集、信息监控、渗透入侵 ? D、传统的安全防御技术很难防范 3.APT攻击中常采用钓鱼（Phishing），以下叙述不正确的是（B）。 ? A、这种攻击利用人性的弱点，成功率高B、这种漏洞尚没有补丁或应对措施 ? C、这种漏洞普遍存在D、利用这种漏洞进行攻击的成本低 4.APT攻击中的字母“A”是指（A）。 ? A、技术高级B、持续时间长 ? C、威胁D、攻击 14.1以下设备可以部署在DMZ中的是（C）。 ? A、客户的账户数据库B、员工使用的工作站 ? C、Web服务器D、SQL数据库服务器 2.包过滤型防火墙检查的是数据包的（A）。 ? A、包头部分B、负载数据 ? C、包头和负载数据D、包标志位 3.系统管理员放置Web服务器并能对其进行隔离的网络区域称为（）。 ? A、蜜罐B、非军事区DMZ ? C、混合子网D、虚拟局域网VLAN 4.利用防火墙可以实现对网络内部和外部的安全防护。（×） 5.即使计算机在网络防火墙之内，也不能保证其他用户不对该计算机造成威胁。（√） 14.2以下哪一项不是IDS的组件（D）。 ? A、事件产生器和事件数据库B、事件分析器 ? C、响应单元D、攻击防护单元 2.通过对已知攻击模型进行匹配来发现攻击的IDS是（A）。 ? A、基于误用检测的 IDSB、基于关键字的IDS ? C、基于异常检测的IDSD、基于网络的IDS 3.按照技术分类可将入侵检测分为（）。 ? A、基于误用和基于异常情况B、基于主机和基于域控制器 ? C、服务器和基于域控制器D、基于浏览器和基于网络 14.3不同安全级别的网络相连接，就产生了网络边界，以下哪一项不属于网络边界安全访问策略（）。 ? A、允许高级别的安全域访问低级别的安全域 ? B、限制低级别的安全域访问高级别的安全域 ? C、全部采用最高安全级别的边界防护机制 ? D、不同安全域内部分区进行安全防护 2.以下不属于防护技术与检测技术融合的新产品是（D）。 三亿文库包含各类专业文献、专业论文、应用写作文书、幼儿教育、小学教育、高等教育、中学教育、57尔雅选修课 《移动互联网时代的信息安全与防护》答案-----完整版等内容。　
　《移动互联网时代的信息安全与防护》尔雅选修课全部答案_互联网_IT/计算机_专业...× 8.2 完整性 1 SHA-2 的哈希值长度不包括()。 B、312 位 2 下面关于... 　尔雅选修课《移动互联网时代的信息安全与防护》答案收集整理日期: 收集整理:陶少 1.课程概述 1.1 课程目标 1.《第 35 次互联网络发展统计报告》的... 　尔雅选修课《移动互联网时代的信息安全与防护》答案 1.课程概述 1.1 课程目标 1 《第 35 次互联网络发展统计报告》的数据显示,截止 2014 年 12 月,我国的... 　《移动互联网时代的信息安全与防护》尔雅选修课全部答案_互联网_IT/计算机_专业...× 8.2 完整性 1 SHA-2 的哈希值长度不包括()。 B、312 位 2 下面关于... 　2016年尔雅选修课 《移动互联网时代的信息安全与防护》课后作业答案_其它_高等教育_教育专区。2016年尔雅选修课 尔雅选修课《移动互联网时代的信息安全与防护》答案... 　尔雅通识课 《移动互联网时代的信息安全与防护》答案 1.课程概述 1.1 课程目标 1.《第 35 次互联网络发展统计报告》的数据显示,截止 2014 年 12 月,我国的... 　更新到14.1尔雅选修课_《移动互联网时代的信息安全与防护》答案_互联网_IT/计算机_专业资料。尔雅网络课 尔雅选修课 《移动互联网时代的信息安全与防护》答案 1.... 　尔雅选修课程移动互联网时代的信息安全与防护答案_...【判断题】《第 35 次互联网络发展统计报告》的...? ? ? ? A、保密性 B、完整性 C、便捷性 D...2016尔雅移动互联网时代信息安全及防护考试答案_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
2016尔雅移动互联网时代信息安全及防护考试答案
&&本人亲自做的,准确率95%以上
阅读已结束，下载文档到电脑
想免费下载更多文档？
定制HR最喜欢的简历
下载文档到电脑，方便使用
还剩8页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢　　【IT168调查报告】近几年来，APT攻击已经成为业界关注和讨论的热点，APT攻击以其独特的攻击方式和手段，使得传统的安全防御工具已无法进行有效的防御。APT攻击不是一个整体，而是将众多入侵渗透技术进行整合而实现的隐秘性的攻击手法，其体现出两个方面的特点，持续时间长和“高级”。其实并不是真的很高级，不一定非要用0day才算是APT，APT是通过使用一系列复杂的攻击手法，在相当一段时间内逐步完成突破、渗透(包括提权与迁移)、窃听、偷取数据等几步的一个过程。　　企业该如何应对APT攻击?APT攻击主要针对的行业有哪些?经过了近几年的发展，APT攻击又发生了哪些变化?为此，我们针对APT攻击的发展趋势和防御策略进行了为期一个月的在线调研活动。本次调研共收集到有效问卷194份，我们通过数据的整理和分析得到了以下结论，希望我们的报告能为您更多的了解APT攻击及其防护策略有帮助！　　主要结论：　　1、 用户对APT攻击的认知还处于初级阶段，大部分用户听说过APT(81%)，但可以详细了解APT攻击所造成的危害的用户却非常少(14%);　　2、 电子邮件(68%)和社交网站(65%)已超越了病毒(64%)、恶意链接(62%)、钓鱼网站(54%)等传统的黑客攻击途径，成为攻击者发动APT攻击最主要的途径;　　3、 APT攻击防护是一个系统工程，这类威胁的防范必须融入到一个更大的监测及预防策略中，并整合企业现有的安全防护网络。　　4、 在企业考虑做好APT攻击防护的策略问题上，超过40%的用户倾向于从网络安全、数据安全、终端安全等不同角度协同来解决企业防护ATP攻击的问题。　　第一节： APT攻击的基本认知　　在参与本次调查的用户中，81%的用户听说过APT，只有19%的用户暂未听说过APT攻击(图一)。然而，在另一项能否清楚了解APT攻击所造成的危害调查中，却只有14%的用户对APT攻击十分了解，61%的用户表示只是大概了解APT攻击，还有25%的用户表示基本不了解APT攻击所造成的危害(图二)。　　由此，我们可以看到，用户对于APT的认知基本还处于初级阶段，而企业要想有效的防御APT攻击，对员工的安全教育是首当其一的，人的因素对于信息安全防护的成败起着至关重要的作用。图一：您是否听说过APT攻击?(数据来源：2014 IT168调研平台)图二：您是否能清楚了解APT攻击所造成的危害?(数据来源：2014 IT168调研平台)　　我们梳理了近年来发生过的典型APT攻击案例，很欣慰的看到大部分用户基本上都听说或了解过这些案例。其中，Google极光攻击、RSA SecurID窃取攻击、火焰病毒、夜龙攻击这四个APT攻击案例受到的关注最多，均有超过半数的用户听说过这些APT攻击案例(图三)。从这一点我们可以看到，APT攻击给企业所带来的危害是非常巨大的，这不仅影响到了企业的经济利益，对于企业的声誉也带来了极其恶劣的影响。图三：您听说过以下哪些典型的APT攻击案例?(数据来源：2014 IT168调研平台)　　第二节：APT攻击发展趋势　　在APT攻击发展趋势方面的调查部分，我们针对APT攻击的主要目标行业、APT攻击的主要途径、APT攻击的特点等几方面进行了调查。在主要的目标行业调查中，金融、政府是APT攻击的主要目标行业，分别高达84%和77%。接下来是电信达到66%，军队达到64%，工业企业54%，其他占到14%(图四)。图四：APT攻击的主要目标行业有哪些?(数据来源：2014 IT168调研平台)　　在APT攻击的主要途径调查中，我们列出了APT攻击可能利用的大部分工具、系统漏洞、病毒等。其中，电子邮件和社交网站成为黑客发动APT攻击最主要的途径，电子邮件被利用高达68%，社交网站被利用高达65%(图五)。从下图我们看到，电子邮件和社交网站甚至超越了病毒、恶意链接、钓鱼网站等传统的黑客攻击途径。　　研究出现这一趋势的关注因素，我们看到，近几年来随着社交网络的流行，企业传统的安全防护手段已无法有效对社交网络进行管控，而电子邮件一直以来就是企业安全防护的重灾区。除了缺乏有效的安全管控策略，员工的安全意识在这方面就显得尤为重要了。电子邮件和社交网站的运营均属于员工个人，攻击者也正是在这一点上看到了机会，对于企业中安全意识单薄的员工个人的电子邮件、社交网站进行渗透作为入手，一步步入侵企业的服务器和网络。图五：APT攻击的最主要途径有哪些?(数据来源：2014 IT168调研平台)　　APT攻击之所以让企业难以防护，其主要原因是它独特的攻击方式和手段难以检测到。在我们以下的调查中，最让企业困扰的APT攻击特点攻击空间路径不确定、攻击渠道不确定、单点隐蔽能力强、持续性攻击、长期潜伏均有超过60%的用户认为这些是最让企业困扰的APT攻击特点(图六)。图六：哪些APT攻击的特点最让企业困扰?(数据来源：2014 IT168调研平台)　　第三节：APT攻击防护策略　　在APT攻击防护策略调查部分，最有效的APT攻击防护技术调查中，异常检测方案受到大部分用户的认可，有77%的用户选择了此项。另外，沙箱方案有69%的用户选择，全流量审计方案有66%的用户选择，基于未知恶意代码检测有55%的用户选择(图七)。　　在最有效的APT防护产品调查中，防病毒、数据防泄密(DLP)、大数据安全分析、下一代防火墙、入侵检测都受到了用户的认可，超过50%的用户都认为这些安全防护产品是防护APT攻击的最有效的解决方案(图八)。　　当然，APT攻击作为企业信息安全的一大隐忧，这类威胁的防范必须融入到一个更大的监测及预防策略中，并整合现有的网络防御。因此，企业用户会更加关注如何加强防范APT攻击与进阶威胁、避免攻击破坏网络及泄露敏感信息，更能完全的发挥用户已投资的安全防护产品和技术。图七：哪类APT攻击防御的技术最有效?(数据来源：2014 IT168调研平台)图八：哪类产品或方案类型对APT攻击防御最有效?(数据来源：2014 IT168调研平台)　　同时，在企业考虑做好APT攻击防护上，超过40%的用户更倾向于从不同角度协同来解决企业防护ATP攻击的问题。另外，单从网络安全角度考虑来解决APT攻击问题的占24%，从数据安全角度考虑的占25%，从终端安全考虑的占10%。　　因此，APT防护将会发展成一个较大的市场，这也一定是一个不断对抗的过程，也是一个需要长期研究和投入的领域，而不是在硬件上加一个特性或功能就能从根本解决问题的领域。　　图九：您更倾向于从以下哪个角度来考虑防御APT攻击?(数据来源：2014 IT168调研平台)　　作者：董建伟}