中关村实验室首席科学家云晓春：强化APT防御 需打通数据壁垒 加强技术攻关

　　在日前召开的智见·破镜—网络安全运营实战大会上，中关村实验室首席科学家云晓春带来了“APT防御关键技术及应用探讨”的主题演讲。云晓春表示，随着我国互联网技术的普及应用，经济、社会等方面对其依赖性越来越大。与此同时，网络空间持续遭到来自境外APT攻击，国家网络安全受到严重的威胁。

　　事实上，APT攻击并不是一次性攻击，而是由七个阶段组成：初始入侵、建落脚点、提升权限、内部侦查、横向移动、保持存在和完成任务，总体称为APT杀伤链。

　　现在，世界各国都非常关注APT攻击，并且都在研究如何应对来自境外的其他国家的APT攻击。尽管目前很多国家都实施了APT防御项目，但通常以综合分析为主，很少有专门针对APT的项目。

　　云晓春表示，从技术的角度来看，虽然国外知名IT厂商都有APT解决方案，各自有不同的应用场景，但分析发现技术上是趋同的。目前看，现在国外APT防御技术趋向于规则匹配，都在尝试引入AI技术用于主动防御。

　　“总体来说，在APT防御技术上，国外的研究及技术能力是攻防并举的，而且是呈体系化的。国内相关职能部门、头部厂商、科研院所从不同角度也在开展APT研究，但与国外相比，能力上稍显落后，对于APT攻击的防御有些后知后觉，而且各个单位形成的能力更具独立性，相互之间的协作和交互较弱。因此，从APT防御技术研究角度来说，亟需打通数据壁垒，加强关键技术的攻关，构建国家级APT威胁情报库和防御平台。”云晓春解释道。

　　在云晓春看来，现在，防御APT攻击，从技术角度来说主要面临两大类三个难题。对于已知APT攻击面临检测难题。现在APT样本不是一成不变的，自身变化非常快，而且反侦查能力非常强，因此对它持续跟踪将非常困难。对于未知攻击主要面临两个难题，一是发现难，APT攻击具有高隐蔽、高对抗的特性，很难做到事先发现主动防御;二是防御难。

　　总的来说，APT攻击数量多、技术能力强，呈现高对抗、高隐蔽的特点，我们如何实现对APT攻击的全面防范?

　　“我们提出了APT冰山防御。针对高变化APT攻击持续跟踪检测，我们提出开展样本养殖技术研究，来实现APT攻击及时检测。针对未知APT攻击线索发现难题，我们提出多步攻击检测技术路线，来实现针对未知APT攻击前置发现。针对未知APT攻击危害消解，我们提出数字替身来实现对APT攻击全面防范。”云晓如此说道。

　　样本养殖技术本质是希望建立协作式、全链条的运行环境，便于检测和养殖。对于APT样本建立沙箱，通过沙箱检测行为，但这只是一次性的检测。APT攻击或者样本是持续变化的，如何应对这种变化?通过建立一套养殖体系，本身样本能够持续运营起来，基于此形成高危样本长期观测和线索生产能力，来实现高变化APT攻击持续检测。

　　针对未知攻击线索发现提出多步攻击检测技术路线。APT攻击本质是复杂多步攻击，一个高级攻击者针对目标开展APT攻击并不是一次性完成的，而是通常采用多步方法实现攻陷目的。为了检测多步攻击，需要考虑整体策略，来突出显示网络收集空间因果关系。

　　多步攻击检测技术路线主要基于对大量真实APT攻击数据的学习检测，并且关联不同阶段的攻击行为，挖掘背后多步攻击链，并且映射到基站式层面进行智能研判，实现海量告警发现APT攻击线索的目标。

　　对于APT攻击来说如果你不知道威胁来自于什么地方，什么时间会产生这种威胁，我们有没有可能借鉴历史上替身的思想，让保护的目标为本体承受APT攻击的损害，这就是数字替身的基本思路。具体来讲，期望数字替身防御模型，由替身替代本体，诱导APT攻击者在替身系统中开展攻击，达到延迟、分散攻击效能，最终实现消解本体危害防御效果。

　　云晓春表示：“我们开展关键技术研究的同时建立相应的技术平台，在各个主要网络中开展了相应的示范应用。目前能力可以在全球范围内持续跟踪检测80%以上对华APT攻击组织，特别是针对养殖系统实践，我们养殖了诱饵文件截取境外APT组织鲜活的二阶码、三阶码，初步形成了高价值的生产能力。”

(本文不涉密)
责任编辑：路沙

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。