近年來，網(wǎng)絡(luò)空間安全威脅發(fā)生了巨大的變化，具備組織背景的APT(AdvancedPersistentThreat縮寫，意思是高級(jí)持續(xù)性威脅)攻擊也越來越多地被安全研究機(jī)構(gòu)曝光。

APT是公認(rèn)的危害性最大的黑客攻擊行為。APT攻擊有著復(fù)雜度高、對(duì)抗性強(qiáng)、隱蔽性強(qiáng)等特點(diǎn)，通常有著竊取政府單位的國(guó)家機(jī)密、重要企業(yè)的科技信息、破壞網(wǎng)絡(luò)基礎(chǔ)設(shè)施等目的。

網(wǎng)絡(luò)安全行業(yè)人士認(rèn)為，APT攻擊對(duì)于國(guó)家和企業(yè)來說都是一個(gè)巨大的網(wǎng)絡(luò)安全威脅。當(dāng)前APT攻擊已經(jīng)隨著互聯(lián)網(wǎng)滲透到社會(huì)的各個(gè)角落，抵御APT攻擊成為各機(jī)構(gòu)及企業(yè)必須直面的難題。對(duì)于網(wǎng)絡(luò)安全機(jī)構(gòu)而言，如何做到讓變幻莫測(cè)的APT組織清晰可見，并幫助相關(guān)機(jī)構(gòu)快速高效地應(yīng)對(duì)APT攻擊，已成為網(wǎng)絡(luò)安全產(chǎn)業(yè)企業(yè)的共同責(zé)任。

日前，綠盟科技聯(lián)合由方濱興院士團(tuán)隊(duì)創(chuàng)建的廣州大學(xué)網(wǎng)絡(luò)空間先進(jìn)技術(shù)研究院聯(lián)合發(fā)布了2021年《APT組織情報(bào)研究年鑒》(以下簡(jiǎn)稱年鑒)，借助網(wǎng)絡(luò)空間威脅建模知識(shí)圖譜和大數(shù)據(jù)復(fù)合語義追蹤技術(shù)，對(duì)全球372個(gè)APT組織進(jìn)行了知識(shí)圖譜歸因建檔，形成APT組織檔案館，并對(duì)APT組織活動(dòng)進(jìn)行大數(shù)據(jù)追蹤，從而對(duì)新增和活躍的攻擊組織的攻擊活動(dòng)態(tài)勢(shì)進(jìn)行分析。

“年鑒用近3年的時(shí)間，在原有的基礎(chǔ)上對(duì)情報(bào)數(shù)據(jù)通過知識(shí)圖譜進(jìn)行整合，形成了歸一化的APT組織檔案館。”綠盟科技平行實(shí)驗(yàn)室負(fù)責(zé)人肖巖軍接受科普時(shí)報(bào)記者采訪時(shí)表示，通過檔案館能力轉(zhuǎn)化為威脅情報(bào)賦能安全產(chǎn)品和大數(shù)據(jù)平臺(tái)，形成ISR情報(bào)監(jiān)視偵察體系，有效追蹤APT組織。

近兩年來，公安部、網(wǎng)信辦、工信部都非常重視有組織的網(wǎng)絡(luò)犯罪，國(guó)家也開始建設(shè)國(guó)家級(jí)防御體系，組織專項(xiàng)APT檢查，網(wǎng)絡(luò)空間安全的檢測(cè)和防御從合規(guī)走向?qū)崙?zhàn)。

肖巖軍表示，通過認(rèn)知圖譜等人工智能技術(shù)進(jìn)行網(wǎng)絡(luò)歸因，對(duì)APT組織形成畫像圖鑒，進(jìn)而優(yōu)化APT追蹤溯源，可知道APT的特性和攻擊力等指標(biāo)，從而有針對(duì)性地防守和反擊。“基于AI人工智能輔助，打擊APT也能像打游戲一樣簡(jiǎn)單。”

當(dāng)然，對(duì)抗APT攻擊也不能完全依賴AI的輔助，產(chǎn)業(yè)界的大量研究和實(shí)踐經(jīng)驗(yàn)已經(jīng)明確證明至少在網(wǎng)絡(luò)安全領(lǐng)域，AI絕不是萬能的，更明智的思路應(yīng)該是以機(jī)器的速度戰(zhàn)勝機(jī)器，用人的創(chuàng)造力對(duì)抗人。

肖巖軍表示，AI當(dāng)然能夠在海量數(shù)據(jù)和威脅模型未知的場(chǎng)景下進(jìn)行有效的探索性嘗試，但是AI并不能解決所有的網(wǎng)絡(luò)安全問題，更明智的做法是讓AI成為安全研究員的工具和方法之一，而不是完全一股腦地全盤依賴AI的判斷和輸出結(jié)果。“AI技術(shù)的加入，確實(shí)讓安全機(jī)構(gòu)積累了大量的APT攻擊線索和特征，但如果單純依靠這些技術(shù)，必然存在大量的誤報(bào)和漏報(bào)，因此還是需要研究員去進(jìn)行強(qiáng)干預(yù)。在整個(gè)AI處理流程的前端和后端進(jìn)行威脅數(shù)據(jù)的預(yù)處理、威脅模型構(gòu)建，以及傳統(tǒng)的惡意代碼分析，才能有效和準(zhǔn)確地發(fā)現(xiàn)APT的真實(shí)攻擊”。(陳杰)

關(guān)鍵詞： 綠盟科技 網(wǎng)絡(luò)空間 安全威脅 安全研究機(jī)構(gòu)