近年來，網(wǎng)絡(luò)空間安全威脅發(fā)生了巨大的變化，具備組織背景的APT(AdvancedPersistentThreat縮寫，意思是高級持續(xù)性威脅)攻擊也越來越多地被安全研究機構(gòu)曝光。

APT是公認的危害性最大的黑客攻擊行為。APT攻擊有著復(fù)雜度高、對抗性強、隱蔽性強等特點，通常有著竊取政府單位的國家機密、重要企業(yè)的科技信息、破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施等目的。

網(wǎng)絡(luò)安全行業(yè)人士認為，APT攻擊對于國家和企業(yè)來說都是一個巨大的網(wǎng)絡(luò)安全威脅。當(dāng)前APT攻擊已經(jīng)隨著互聯(lián)網(wǎng)滲透到社會的各個角落，抵御APT攻擊成為各機構(gòu)及企業(yè)必須直面的難題。對于網(wǎng)絡(luò)安全機構(gòu)而言，如何做到讓變幻莫測的APT組織清晰可見，并幫助相關(guān)機構(gòu)快速高效地應(yīng)對APT攻擊，已成為網(wǎng)絡(luò)安全產(chǎn)業(yè)企業(yè)的共同責(zé)任。

日前，綠盟科技聯(lián)合由方濱興院士團隊創(chuàng)建的廣州大學(xué)網(wǎng)絡(luò)空間先進技術(shù)研究院聯(lián)合發(fā)布了2021年《APT組織情報研究年鑒》(以下簡稱年鑒)，借助網(wǎng)絡(luò)空間威脅建模知識圖譜和大數(shù)據(jù)復(fù)合語義追蹤技術(shù)，對全球372個APT組織進行了知識圖譜歸因建檔，形成APT組織檔案館，并對APT組織活動進行大數(shù)據(jù)追蹤，從而對新增和活躍的攻擊組織的攻擊活動態(tài)勢進行分析。

“年鑒用近3年的時間，在原有的基礎(chǔ)上對情報數(shù)據(jù)通過知識圖譜進行整合，形成了歸一化的APT組織檔案館。”綠盟科技平行實驗室負責(zé)人肖巖軍接受科普時報記者采訪時表示，通過檔案館能力轉(zhuǎn)化為威脅情報賦能安全產(chǎn)品和大數(shù)據(jù)平臺，形成ISR情報監(jiān)視偵察體系，有效追蹤APT組織。

近兩年來，公安部、網(wǎng)信辦、工信部都非常重視有組織的網(wǎng)絡(luò)犯罪，國家也開始建設(shè)國家級防御體系，組織專項APT檢查，網(wǎng)絡(luò)空間安全的檢測和防御從合規(guī)走向?qū)崙?zhàn)。

肖巖軍表示，通過認知圖譜等人工智能技術(shù)進行網(wǎng)絡(luò)歸因，對APT組織形成畫像圖鑒，進而優(yōu)化APT追蹤溯源，可知道APT的特性和攻擊力等指標(biāo)，從而有針對性地防守和反擊。“基于AI人工智能輔助，打擊APT也能像打游戲一樣簡單。”

當(dāng)然，對抗APT攻擊也不能完全依賴AI的輔助，產(chǎn)業(yè)界的大量研究和實踐經(jīng)驗已經(jīng)明確證明至少在網(wǎng)絡(luò)安全領(lǐng)域，AI絕不是萬能的，更明智的思路應(yīng)該是以機器的速度戰(zhàn)勝機器，用人的創(chuàng)造力對抗人。

肖巖軍表示，AI當(dāng)然能夠在海量數(shù)據(jù)和威脅模型未知的場景下進行有效的探索性嘗試，但是AI并不能解決所有的網(wǎng)絡(luò)安全問題，更明智的做法是讓AI成為安全研究員的工具和方法之一，而不是完全一股腦地全盤依賴AI的判斷和輸出結(jié)果。“AI技術(shù)的加入，確實讓安全機構(gòu)積累了大量的APT攻擊線索和特征，但如果單純依靠這些技術(shù)，必然存在大量的誤報和漏報，因此還是需要研究員去進行強干預(yù)。在整個AI處理流程的前端和后端進行威脅數(shù)據(jù)的預(yù)處理、威脅模型構(gòu)建，以及傳統(tǒng)的惡意代碼分析，才能有效和準(zhǔn)確地發(fā)現(xiàn)APT的真實攻擊”。(陳杰)

關(guān)鍵詞： 綠盟科技 網(wǎng)絡(luò)空間 安全威脅 安全研究機構(gòu)