从短信链接到数据泄露，遍布全球的APT攻击如何影响到你？

admin

140350
文章

117
评论

2021年7月26日11:10:07评论85 views字数 4033阅读13分26秒阅读模式

随着大数据技术的发展，数据向多元、多源方向发展，且已成为国家基础性战略资源，正对全球生产、经济、社会和国家治理等活动产生重要影响。但各机构之间的数据孤岛问题突出，严重影响数据价值的释放。

2015 年，国务院发布《促进大数据发展行动纲要》，提出全面推进我国大数据发展应用的行动计划。

2016 年，国家发布《“十三五”国民经济和社会发展规划纲要》，提出要实施国家大数据战略，促进大数据创新应用，着力推动数据开放共享。

2019 年 11 月 1 日，中央首次在公开场合提出数据可作为生产要素按贡献参与分配。

2020 年 7 月工信部发布《关于工业大数据发展的指导意见》提出加快工业设备互联互通，推动工业数据高质量汇聚，统筹建设国家工业大数据平台，推动工业数据的开放共享。

2021 年 3 月发布的《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》中提到，重点发展大数据、区块链等数据经济重点产业，加快关键数字技术创新和产业数字化转型；加强公共数据开放共享，确保公共数据安全，推进数据跨部门、跨层级、跨地区汇聚融合和深度利用；加强网络安全防护，强化跨领域网络安全信息共享和工作协同，提升网络安全威胁发现、攻击溯源能力，加强网络安全关键技术研发，加快人工智能安全技术创新，提升网络安全产业综合竞争力；同时提到我们需要积极参与数据安全等技术研究与标准制定等工作，从而推动构建网络空间命运共同体。

2021 年 6 月 10 日，《数据安全法》在十三届全国人大常委会第二十九次会议中表决通过。《数据安全法》作为数据领域的 “上位法”，将数据安全推向了更高的层面，而高级持续性威胁（Advanced Persistent Threat， APT）对数据安全的威胁确没有降低，近年来因 APT 攻击导致的数据安全事件层出不穷，尤其是随着移动终端的应用广泛化、智能深入化，数据也逐渐暴漏在攻击者面前，给攻击者带来了可乘之机，尤其是具有专业组织、专业工具的 ATP 攻击。

ATP 攻击，即特定的组织（特别是政府直接或者间接支持的高水平黑客组织或者团体）对于特定的目标进行长期的、持续的、有计划的网络攻击形式和破坏行为。APT 攻击是以窃取高价值资产或者有目的的破坏信息系统为目标的，APT 一般具有三个特性，即高级性、持续性和危害性。

1）高级性主要体现在攻击者的情报收集能力、恶意代码编写及利用能力和漏洞利用能力方面，其中，情报收集与漏洞使用相辅相成，在丰富的情报基础上，熟练的使用专业的漏洞工具，达到 APT 攻击的目的。

2）持续性主要体现在特定的条件下，使用多种技术，对目标的长期监控，无论如何，攻击者的目光从未从目标群体离开，相关情报的收集也一直在进行中，只是在等待一个合适的时机。

3）危害性则体现在团队协作、多种完备技术及方法和健全的组织性方面，即大多数的 APT 攻击都是具备特定背景的网络攻击行为，是一种活跃在网络空间的间谍行为。

从这里可以看出，APT 既是技术词汇，也是政治词汇，是国家博弈和地缘政治在网络空间的一个折射，自 2006 年被美国空军信息战中心业务组指挥官 Greg Rattray 上校提出后，移动智能终端的发展，使 APT 由 PC 端蔓延至移动智能终端侧，移动智能终端的广泛使用及其高社会属性，给移动智能终端安全及网络空间安全带来了新的威胁，成为了 APT 攻击内网的一个新的跳板。

长期以来，APT 都是网络空间的巨大威胁，且频发的 APT 攻击成了网络空间安全的常态，随着发展，已经逐渐渗透到信息社会的各个角落，从早期的情报信息窃取威胁，到今天的针对网络基础设施、工业控制设施、移动智能终端，进行了全面的迁移，攻击是否发生只与目标承载的资产价值和更重要目标的关联度有关，而与攻击难度无关，日益革新的技术，在给经济生产等带来推动力的同时，也推动了 ATP 攻击相关技术的发展。

在 APT 的攻击模型方面，包括了杀伤链模型、钻石模型、TTP模型和ATT&CK模型等。

1）杀伤链模型，最初起源于军事中的 C5KISR 系统中的 K（kill），后由洛克希德-马丁公司（全球最大的国防工程承包商，根据 Cybersecurity 500 名单，洛克希德-马丁公司在全球上市网络安全企业中位列前十）提出网络安全杀伤链七步模型，用来识别和防护网络入侵行为。网络安全杀伤链七步模型包括侦测、武器化、投递、漏洞利用、安装、控制和目标行动等。

杀伤链模型

2）钻石模型是由 Sergio Caltagirone、Andrew Pendergast、Christopher Betz 在 2013 年论文 The Diamond Model of Intrusion Analysis 中提出的一个针对网络入侵攻击的分析框架模型。该模型由四个核心特征组成，分别为：对手（adversary）、能力（capability）、基础设施（infrastructure）和受害者（victim）。四个核心特征间用连线表示相互间的基本关系，并按照菱形排列，从而形成类似“钻石”形状的结构，因此得名为“钻石模型”。同时，模型还定义了社会-政治关系（对手和受害者之间的）和技术能力（用于确保能力和基础设施可操作性的）两个重要的扩展元特征。该模型也认为，无论何种入侵活动，其基本的元素都是一个一个的事件，而每个事件都可以由上述四个基本核心特征组成。