伴隨著對云計算的擁抱、新的DevOps流程的普及、物聯網設備的蔓延、供應鏈的復雜交織以及更多數字基建的涌現，新一代網絡攻擊手段也在持續演進，有效的威脅檢測與響應能力作為重要的攻防手段，是提升實戰化對抗能力的關鍵因素。

　　我們推出《高級威脅檢測與響應解決方案》系列訪談，邀請相關安全廠商分享主動感知、分析、防御、溯源高級威脅的成功經驗，及其方案服務的能力和特色，為企業用戶提升安全建設水平提供一定參考。

　　本期訪談的主角是業內知名的網絡安全公司知道創宇，我們邀請了知道創宇404實驗室APT高級威脅情報團隊來分享自身在該領域的觀察思考和實踐。知道創宇——全稱北京知道創宇信息技術股份有限公司，是一家立足攻防一線，與客戶并肩戰斗，擁有“實戰對抗”能力的網絡安全公司。知道創宇成立于2007年，由數位資深安全專家創辦，以“AI+安全大數據”為底層能力，為客戶提供云防御、云監測、云測繪產品與服務。

　　APT攻擊愈演愈烈

　　網絡空間安全形勢持續升級

　　今年6月，西北工業大學表示，西工大電子郵件系統遭受網絡攻擊。9月5日，國家計算機病毒應急處理中心發布《西北工業大學遭美國NSA網絡攻擊事件調查報告》，揭露了境外黑客組織長期滲透控制中國基礎設施核心設備，竊取中國用戶隱私信息的事實。

　　這一安全事件讓APT高級可持續性威脅這一行業用語走到臺前，讓社會各界加深了對活躍在網絡陰暗面的網絡攻擊活動的認知。事實上，在大眾視野之外，APT攻擊、勒索攻擊、超大規模數據泄露、波及范圍極廣的重大安全漏洞等類型眾多的安全事件時刻都在發生，網絡空間的安全形勢日漸嚴峻。

　　● APT攻擊頻次劇增 攻擊手段更加復雜

　　在采訪中，知道創宇404實驗室APT高級威脅情報團隊的安全專家告訴我們，近兩年來，知道創宇發現，APT攻擊頻次日益增多，僅今年上半年便發現了100多起APT攻擊活動，數量遠高于去年全年APT事件的總和，且攻擊對象涵蓋了政府、軍工、能源、金融等眾多領域。在攻防對抗中，漏洞利用攻擊、無文件攻擊、供應鏈攻擊等各類高級攻擊手法頻頻出現，0day漏洞攻擊數量顯著。

　　安全專家們談到，知道創宇404實驗室APT高級威脅情報團隊在2021年末發布的APT攻擊趨勢報告總結中曾指出，以海蓮花為首的一系列APT組織正在逐步放棄釣魚郵件的傳統攻擊手段，轉為采用漏洞攻擊、滲透攻擊等更高級的方式發起攻擊活動，攻擊目標也逐步轉為優先攻擊安全公司、終端軟件管理公司、科技公司等，再通過上述攻擊在供應鏈中植入惡意代碼，實現供應鏈攻擊，抵達攻擊者的最終攻擊目標。從不斷爆發的大規模攻擊事件中不難看出，APT組織越發猖獗，APT攻擊活動也越發頻繁，采取相應措施抵御威脅刻不容緩。“

　　● 攻防對抗日趨激烈 傳統安全思維日漸式微

　　安全專家們進一步指出，隨著攻防雙方對抗手段的持續升級，漏洞利用攻擊、無文件攻擊、供應鏈攻擊等各類高級攻擊手段出現，其攻擊手法隱蔽、破壞性強，給傳統防護安全帶來了極大挑戰，傳統的被動防護思維和技術手段已無法對層出不窮的新型攻擊手法進行有效檢測和識別，無形中降低了客戶信息系統的安全防護能力。

　　”在某些案例里，我們發現海蓮花組織專門針對國內某知名反病毒廠商的殺軟做了免殺。在安裝了某殺軟的機器上運行后，殺軟全盤掃描也無法識別該木馬文件，這凸顯了一線攻防對抗的激烈性。“

　　他們表示，為應對日益更新的攻擊手法，業內主流的防護手段也逐步從傳統特征、情報等單一檢測手段，演變成多種檢測手段融合的方式，通過對高級威脅全周期的不同攻擊階段利用不同的檢測手段進行檢測，進一步縮短對APT攻擊的發現周期。同時，將AI技術引進網絡安全領域也已成為新趨勢，AI技術基于大數據對不同業務場景威脅進行建模分析，挖掘數據規律及目標特征，提升高級威脅及未知威脅的檢出率，提高網絡分析的效率及準確性。

　　404實驗室APT高級威脅情報團隊認為，當前業內主流防護手段更應注重向前防御理念打破被動防御，即在攻擊者發起攻擊前，就對可疑IP、域名進行持續追蹤，確保攻擊被扼殺在搖籃。作為一線攻防廠商，知道創宇在APT高級威脅檢測與防御方面已經積累了大量經驗和實踐，利用全網獨家的測繪情報，知道創宇已能幫助用戶在APT發起攻擊前就可識別到可疑IP、域名，有效進行提前監控，同時結合基因圖譜檢測、復雜位運算、沙箱檢測等先進技術，實現對未知威脅的積極防御。

　　安全產品+專業服務一體化

　　以APT測繪及APT防御應對高級威脅

　　404實驗室APT高級威脅情報團隊表示，知道創宇在早期就意識到了APT攻擊的嚴峻性，為了掌握APT攻擊在全球的活動情況，以便快速高效地應對APT攻擊，知道創宇與監管客戶共同進行一線攻擊跟蹤，加強對APT組織的研究，并與國家單位進行深度的實戰化合作，長期對全球范圍內的APT組織進行深入的、持續化的跟蹤和研究分析。

　　目前知道創宇已經形成了安全產品+專業服務一體化，通過APT測繪+APT防御的完整解決方案，幫助用戶構建精準和高效的APT全面防御能力。

　　圖：知道創宇APT檢測與響應解決方案框架

　　向前防御

　　知道創宇通過在全球網絡空間資產測繪、漏洞挖掘研究以及云防御持續十余年的一線實戰對抗，積累了海量向前防御大數據和外網持續交火大數據，能夠為用戶構建向前防御能力，在空間層面將對抗地點放在自身網絡疆界以外，在時間層面提前獲取攻擊者資產、畫像、漏洞等一手信息，實現網絡安全防御關口前移，贏得時間和空間的主動。

　　邊界防御

　　通過在互聯網邊界旁路部署創宇云圖威脅檢測系統、創宇獵幽APT流量監測系統，對進出互聯網的流量進行全流量深度分析，基于基因圖譜檢測、復雜位運算、APT情報測繪、沙箱檢測等技術，對流量中存在的0Day漏洞攻擊、勒索病毒、惡意代碼變種、惡意文件、異常訪問行為、數據泄露、暗網通訊、APT攻擊等進行檢測與識別，構建針對攻擊鏈的交叉檢測驗證體系。

　　內網防御

　　通過在內網主機或云主機上部署創宇云影內網主機安全監測系統輕量級客戶端，提供對抗黑客攻擊及惡意代碼的能力，有效檢測及攔截已知和未知安全威脅如0Day攻擊、勒索病毒攻擊、橫向滲透、無文件攻擊、供應鏈攻擊、APT攻擊等，并且可以提供資產清點、端點取證、溯源分析、系統恢復等能力，將預防、檢測和響應集中在統一的控制臺流程中，為端點提供全面的全生命周期安全防護。

　　協同聯防

　　通過將檢測結果同步給旁路部署的威脅情報網關進行聯動，實現對攻擊者的旁路阻斷，形成監測預警、威脅檢測、溯源分析和響應處置能力閉環，同時可與云端進行實時情報更新，實現全網聯防聯控。創宇威脅感知大數據平臺（CIC）則可以收集多源的高級威脅檢測數據，通過大數據建模和關聯分析，實現全局視角的威脅態勢感知和風險研判。

　　專家服務

　　知道創宇404實驗室APT高級威脅情報團隊由經驗豐富的安全專家組成，長期為國家相關部門進行APT監測相關技術支撐，可為客戶提供專業的一手APT情報、APT木馬及流量分析服務，協助客戶實現安全事件的溯源分析，持續提升高級威脅檢測與響應能力。

　　多管齊下

　　助力企業客戶打好應對APT攻擊的組合拳

　　404實驗室APT高級威脅情報團隊的專家介紹，在產品層面，知道創宇主要通過：創宇云圖威脅檢測系統、創宇獵幽APT流量監測系統、創宇云影內網主機安全監測系統、創宇威脅感知大數據平臺（CIC）在內的四款安全產品，來幫助用戶打好應對APT攻擊的組合拳。

　　”創宇云圖威脅檢測系統、創宇獵幽APT流量監測系統實現了基于網絡全流量的高級威脅檢測。創宇云影提供了覆蓋個人終端、主機側的高級威脅檢測和響應處置的能力。創宇威脅感知大數據平臺（CIC）則可以收集多源的高級威脅檢測數據，通過大數據建模和關聯分析，實現全局視角的威脅態勢感知和風險研判。“

　　客戶案例：

　　助力某央企精準感知未知威脅 實現高級威脅防護

　　在采訪中，404實驗室APT高級威脅情報團隊的專家為我們分享了知道創宇成功幫助某央企構建APT檢測與防御能力的成功案例。據介紹，此前該企業客戶也曾部署過其他安全廠商旗下的NTA、NDR、EDR類型設備進行嘗試，但經檢測分析結果發現，其在未知威脅攻擊防護方面效果仍然欠佳，無法實現精準檢測和事后的溯源分析。因此迫切需要找到一套真正符合自身安全建設需求的系統性解決方案，更全面、及時地監測到各類APT攻擊信息，增強對于重要系統的安全監控。

　　關鍵挑戰

　　在對客戶的安全現狀進行全面深入的檢測和梳理過后，知道創宇發現該企業主要存在三個方面的痛點：

　　01 APT攻擊來去無影蹤，難以獲取APT組織的線索，無法做到及時防御，信息泄露造成嚴重損失；

　　02 當前分析流量主要依靠人工，高級安全分析人員人手欠缺，無法支撐大量的告警分析，且不可控因素較強；

　　03 溯源困難，無法全面了解已發生的APT事件背景包括攻擊目標、范圍、趨勢等信息，無法對未來的安全規劃提供合理化建議。

　　解決方案

　　針對這一企業存在的安全問題，知道創宇安全團隊通過多次現場溝通和調研，最終在該客戶總部數據中心互聯網邊界旁路部署了創宇云圖威脅檢測系統、創宇獵幽APT流量監測系統對進出互聯網的流量進行全流量深度分析，為了減少對原有鏈路的影響，采用1分2分光器以80:20的分光比例對流量進行采集。

　　同時在辦公PC、云主機、物理主機上分別部署創宇云影內網主機安全監測系統輕量級客戶端進行安全檢測，并將安全檢測的數據匯總于管理中心進行安全分析。在發生告警后，知道創宇安全專家協助客戶進行現場取證，結合創宇智腦威脅情報進行深入分析，對攻擊鏈完整還原，提供分析報告并給出安全策略的優化建議。

　　應用效果

　　在該系列產品全面部署上線后，僅一周的時間內，知道創宇就在該企業內網中發現包括內網webshell滲透攻擊、內網主機感染mozi木馬進行橫向傳播、內網主機感染Polaris木馬進行橫向傳播、內網主機對其他內網主機進行漏洞攻擊、內網主機感染多個APT組織木馬及其他各類木馬，以及多起外部IP對內網進行漏洞攻擊事件，隨后快速有效幫助該客戶精準感知未知威脅并進行快速處置。

　　專家們談到，能否真正助力客戶精準感知未知威脅、實現高級威脅防護，是衡量廠商安全能力和APT攻擊檢測與響應解決方案價值的唯一準繩。他們認為，知道創宇這一套APT攻擊檢測與響應解決方案價值主要體現在以下四個方面：

　　01 首創將ZoomEye全球網絡空間測繪與APT情報相結合，產出精準的高價值APT測繪情報并落地到產品，有效提升APT攻擊的感知能力。

　　02 對Seebug 漏洞平臺進行規則轉化，形成特有的漏洞規則，有效提升產品針對漏洞利用攻擊的檢出能力。

　　03 對用戶關鍵的網絡流量進行全流量威脅分析，將人工智能落地到網絡安全領域，利用大數據與人工智能技術構建網絡攻擊檢測預溯源解決方案。

　　04 對云端情報、全流量檢測、終端檢測多種技術發現的威脅進行進一步的關聯分析，基于APT攻擊鏈及攻擊場景模型挖掘出高級威脅。

　　APT攻擊將持續復雜化和隱蔽化

　　更加難以檢測和防范

　　采訪最后，談及APT攻擊未來攻防趨勢以及知道創宇的應對思路時，404實驗室APT高級威脅情報團隊的專家談到，”未來3-5年黑客會更加有針對性、有組織性地對關基單位、企業發起攻擊，以達到竊取重要信息，非法盈利的目的。比如前段時間，勒索組織對國際知名安全廠商思科進行定向勒索。類似的這些攻擊也往往具有強時效性，漏洞剛被披露甚至是未被察覺的時候，黑客就發起了攻擊，讓大家措手不及，難以及時應對。“

　　此外，未來高級威脅可能會更多地針對現有特征檢測技術的對抗，實現對特征檢測技術的繞過，如IDS類檢測特征繞過、殺軟特征繞過，也有研究利用人工智能技術，如強化學習，訓練對抗現有檢測手段的繞過能力工具或樣本，以及更多地使用加密或隱蔽隧道方式，隱藏攻擊行為和內容。

　　他們表示：”知道創宇404實驗室APT高級威脅情報團隊針對未來趨勢，將依照向前防御理念，從國內領先的Seebug漏洞平臺上提取實時披露的最新漏洞信息，在第一時間將最新高危漏洞轉化為規則特征，確保N day漏洞攻擊的優越檢測性能。“

　　同時知道創宇404實驗室也將持續深研測繪與情報結合的解決方案，增加APT情報提前獲取的準確性、高效性。對于某些復雜攻擊，知道創宇404實驗室將專門定制模型算法，結合機器學習、大數據處理，有針對性地對其進行檢測，目前已在實戰中驗證了隱蔽隧道檢測模型針對加密流量進行檢測的優越性。此外，知道創宇相關產品還將進一步的與云防御持續交火大數據融合，以數據情報為全線產品動態賦能，形成云地聯動、多點協同的聯防聯控能力，協助客戶構建積極防御體系。

更多信息可以來這里獲取==>>電子技術應用-AET<<