近日,360威胁情报中心发布了《全球高级持续性威胁(APT)2018年报告》(以下简称报告),揭示了过去一年全球APT发展态势。
2018年,APT威胁的攻防双方处于白热化的博弈当中。作为APT防御的安全厂商比往年更加频繁的跟踪和曝光APT组织的攻击活动。
报告显示,政府、外交、军队、国防依然是 APT 攻击者的主要目标,能源、电力、医疗、工业等国家基础设施性行业也正面临着APT攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁,如MageCart、Cobalt Group等等,其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击,这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外,电子商务、在线零售等也是其攻击目标。
高级威胁活动涉及目标的国家和地域分布情况统计如下图(摘录自公开报告中提到的受害目标所属国家或地域),可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。
进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称,并对同一背景来源进行归类处理后的统计情况如下,总共涉及109个命名的威胁来源命名。基于全年公开披露报告的数量统计,一定程度可以反映威胁攻击的活跃程度。
其中,明确的针对中国境内实施攻击活动的,并且依旧活跃的公开APT 组织,包括海莲花,摩诃草,蔓灵花,Darkhotel,Group 123,毒云藤和蓝宝菇,其中毒云藤和蓝宝菇是360在2018年下半年公开披露并命名的 APT 组织。
而随着APT攻击的日益猖獗,现有的APT防御技术也面临着非常大的挑战。传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。而由于企业网络防护系统缺少相关APT学习经验,而且攻击者的逃逸水平也在不断的进步发展,本地设备会经常性的出现误报和漏报现象,经常需要人工的二次分析进行筛选。而且由于APT攻击的复杂性和背景的特殊性,仅依赖于单一企业的数据经常无法有效的发现APT攻击背景,难以做到真正的追踪溯源。360天眼则创新性的从互联网数据进行发掘和分析,由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到,所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率,而且由于数据的覆盖面更大,可以做到攻击的更精准溯源。360天眼系统已经广泛部署于公检法、金融、政府部委、运营商、石油石化、电力、教育、医疗等行业的300多家机构,帮助这些机构发现和处置超过百余起APT攻击事件,包括海莲花事件、摩诃草事件、蔓灵花事件、黄金鼠事件等APT攻击。
閱讀更多 時代洞察 的文章
