近日,360威脅情報中心發佈了《全球高級持續性威脅(APT)2018年報告》(以下簡稱報告),揭示了過去一年全球APT發展態勢。
2018年,APT威脅的攻防雙方處於白熱化的博弈當中。作為APT防禦的安全廠商比往年更加頻繁的跟蹤和曝光APT組織的攻擊活動。
報告顯示,政府、外交、軍隊、國防依然是 APT 攻擊者的主要目標,能源、電力、醫療、工業等國家基礎設施性行業也正面臨著APT攻擊的風險。而金融行業主要面臨一些成熟的網絡犯罪團伙的攻擊威脅,如MageCart、Cobalt Group等等,其組織化的成員結構和成熟的攻擊工具實現對目標行業的規模化攻擊,這與過去的普通黑客攻擊是完全不同的。除了針對金融、銀行外,電子商務、在線零售等也是其攻擊目標。
高級威脅活動涉及目標的國家和地域分佈情況統計如下圖(摘錄自公開報告中提到的受害目標所屬國家或地域),可以看到高級威脅攻擊活動幾乎覆蓋了全球絕大部分國家和區域。
進一步對公開報告中高級威脅活動中命名的攻擊行動名稱、攻擊者名稱,並對同一背景來源進行歸類處理後的統計情況如下,總共涉及109個命名的威脅來源命名。基於全年公開披露報告的數量統計,一定程度可以反映威脅攻擊的活躍程度。
其中,明確的針對中國境內實施攻擊活動的,並且依舊活躍的公開APT 組織,包括海蓮花,摩訶草,蔓靈花,Darkhotel,Group 123,毒雲藤和藍寶菇,其中毒雲藤和藍寶菇是360在2018年下半年公開披露並命名的 APT 組織。
而隨著APT攻擊的日益猖獗,現有的APT防禦技術也面臨著非常大的挑戰。傳統的APT防護技術專注於從企業客戶自身流量和數據中通過沙箱或關聯分析等手段發現威脅。而由於企業網絡防護系統缺少相關APT學習經驗,而且攻擊者的逃逸水平也在不斷的進步發展,本地設備會經常性的出現誤報和漏報現象,經常需要人工的二次分析進行篩選。而且由於APT攻擊的複雜性和背景的特殊性,僅依賴於單一企業的數據經常無法有效的發現APT攻擊背景,難以做到真正的追蹤溯源。360天眼則創新性的從互聯網數據進行發掘和分析,由於任何攻擊線索都會有相關聯的其他信息被互聯網數據捕捉到,所以從互聯網進行挖掘可極大提升未知威脅和APT攻擊的檢出效率,而且由於數據的覆蓋面更大,可以做到攻擊的更精準溯源。360天眼系統已經廣泛部署於公檢法、金融、政府部委、運營商、石油石化、電力、教育、醫療等行業的300多家機構,幫助這些機構發現和處置超過百餘起APT攻擊事件,包括海蓮花事件、摩訶草事件、蔓靈花事件、黃金鼠事件等APT攻擊。
閱讀更多 時代洞察 的文章
