随着大数据技术的发展,数据向多元、多源方向发展,且已成为国家基础性战略资源,正对全球生产、经济、社会和国家治理等活动产生重要影响。但各机构之间的数据孤岛问题突出,严重影响数据价值的释放。
2015 年,国务院发布《促进大数据发展行动纲要》,提出全面推进我国大数据发展应用的行动计划。
2016 年,国家发布《“十三五”国民经济和社会发展规划纲要》,提出要实施国家大数据战略,促进大数据创新应用,着力推动数据开放共享。
2019 年 11 月 1 日,中央首次在公开场合提出数据可作为生产要素按贡献参与分配。
2020 年 7 月工信部发布《关于工业大数据发展的指导意见》提出加快工业设备互联互通,推动工业数据高质量汇聚,统筹建设国家工业大数据平台,推动工业数据的开放共享。
2021 年 3 月发布的《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》中提到,重点发展大数据、区块链等数据经济重点产业,加快关键数字技术创新和产业数字化转型;加强公共数据开放共享,确保公共数据安全,推进数据跨部门、跨层级、跨地区汇聚融合和深度利用;加强网络安全防护,强化跨领域网络安全信息共享和工作协同,提升网络安全威胁发现、攻击溯源能力,加强网络安全关键技术研发,加快人工智能安全技术创新,提升网络安全产业综合竞争力;同时提到我们需要积极参与数据安全等技术研究与标准制定等工作,从而推动构建网络空间命运共同体。
2021 年 6 月 10 日,《数据安全法》在十三届全国人大常委会第二十九次会议中表决通过。《数据安全法》作为数据领域的 “上位法”,将数据安全推向了更高的层面,而高级持续性威胁(Advanced Persistent Threat, APT)对数据安全的威胁确没有降低,近年来因 APT 攻击导致的数据安全事件层出不穷,尤其是随着移动终端的应用广泛化、智能深入化,数据也逐渐暴漏在攻击者面前,给攻击者带来了可乘之机,尤其是具有专业组织、专业工具的 ATP 攻击。
ATP 攻击,即特定的组织(特别是政府直接或者间接支持的高水平黑客组织或者团体)对于特定的目标进行长期的、持续的、有计划的网络攻击形式和破坏行为。APT 攻击是以窃取高价值资产或者有目的的破坏信息系统为目标的,APT 一般具有三个特性,即高级性、持续性和危害性。
1)高级性主要体现在攻击者的情报收集能力、恶意代码编写及利用能力和漏洞利用能力方面,其中,情报收集与漏洞使用相辅相成,在丰富的情报基础上,熟练的使用专业的漏洞工具,达到 APT 攻击的目的。
2)持续性主要体现在特定的条件下,使用多种技术,对目标的长期监控,无论如何,攻击者的目光从未从目标群体离开,相关情报的收集也一直在进行中,只是在等待一个合适的时机。
3)危害性则体现在团队协作、多种完备技术及方法和健全的组织性方面,即大多数的 APT 攻击都是具备特定背景的网络攻击行为,是一种活跃在网络空间的间谍行为。
从这里可以看出,APT 既是技术词汇,也是政治词汇,是国家博弈和地缘政治在网络空间的一个折射,自 2006 年被美国空军信息战中心业务组指挥官 Greg Rattray 上校提出后,移动智能终端的发展,使 APT 由 PC 端蔓延至移动智能终端侧,移动智能终端的广泛使用及其高社会属性,给移动智能终端安全及网络空间安全带来了新的威胁,成为了 APT 攻击内网的一个新的跳板。
长期以来,APT 都是网络空间的巨大威胁,且频发的 APT 攻击成了网络空间安全的常态,随着发展,已经逐渐渗透到信息社会的各个角落,从早期的情报信息窃取威胁,到今天的针对网络基础设施、工业控制设施、移动智能终端,进行了全面的迁移,攻击是否发生只与目标承载的资产价值和更重要目标的关联度有关,而与攻击难度无关,日益革新的技术,在给经济生产等带来推动力的同时,也推动了 ATP 攻击相关技术的发展。
在 APT 的攻击模型方面,包括了杀伤链模型、钻石模型、TTP模型和ATT&CK模型等。
1)杀伤链模型,最初起源于军事中的 C5KISR 系统中的 K(kill),后由洛克希德-马丁公司(全球最大的国防工程承包商,根据 Cybersecurity 500 名单,洛克希德-马丁公司在全球上市网络安全企业中位列前十)提出网络安全杀伤链七步模型,用来识别和防护网络入侵行为。网络安全杀伤链七步模型包括侦测、武器化、投递、漏洞利用、安装、控制和目标行动等。
杀伤链模型
2)钻石模型是由 Sergio Caltagirone、Andrew Pendergast、Christopher Betz 在 2013 年论文 The Diamond Model of Intrusion Analysis 中提出的一个针对网络入侵攻击的分析框架模型。该模型由四个核心特征组成,分别为:对手(adversary)、能力(capability)、基础设施(infrastructure)和受害者(victim)。四个核心特征间用连线表示相互间的基本关系,并按 照菱形排列,从而形成类似“钻石”形状的结构,因此得名为“钻石模型”。同时,模型还 定义了社会-政治关系(对手和受害者之间的)和技术能力(用于确保能力和基础设施可操 作性的)两个重要的扩展元特征。该模型也认为,无论何种入侵活动,其基本的元素都是一个一个的事件,而每个事件都可以由上述四个基本核心特征组成。
钻石模型
3)TTP,该术语来自于三个英文词汇的首字母组合,即战术 Tactics、技术 Techniques 和过程 Procedures,是描述高级威胁组织网络攻击的重要指标,出自于《美国国防部军事及相关术语词典》,最早用于军事领域和反恐活动,后延伸到信息安全领域,并被用来描述相应 的过程。TTP 在网络情报中是核心信息,它与指标、事件、活动、攻击者、攻击目标有着密切的关联关系。
4)ATT&CK 也就是 Adversarial Tactics, Techniques, and Common Knowledge。顾名思义,这并不是一项技术,而是“对抗战术、技术和常识”框架,是更加底层“知识库”的基础框架,是由攻击者在攻击企业时会利用的 12 种战术和 244 种企业技术组成的精选知识库。它的着眼点不是单个的 IOC,而是 IOC 处于攻击过程中的上下文,也就是从点扩展到了面扩展到了链。当 ATT&CK 把那些翻阅字典一样,轻易地找到相对应的常见战术动作,甚至做到杀伤链还原,更好地应对攻击。
APT 最经典的防护模型之一则是滑动标尺模型,它来源于美国系统网络安全协会(SANS),主要应对日益复杂的网络环境和不断变化的攻击手段。
滑动标尺模型分为五大类别,这五大类别之间具有连续关系,并有效展示了防御逐步提升的理念。这五大类别不是固定不变的,且重要程度不是均等的, 每个类别的某些措施与相邻类别密切相关,实现网络安全目标,组织应构建安全根基和文化,并不断完善,滑动标尺模型还能潜在促进组织的安全成熟进程。
滑动标尺动态安全模型
(翻译自滑动标尺模型白皮书 The Sliding Scale of Cyber Security)
攻击与防御在不断的进行着博弈,争取各自最大的利益。在攻击方面,攻击手段和攻击 投放的方式越来越多样化,且现有的攻击者目前拥有了更加明确的组织,APT 威胁的归属问题也在发生变化,同时攻击的目标可能进一步延伸,比如说政府、外交、军队、国防,再比如说能源、电力、金融等。
在防御方面,随着攻击技术的不断的发展,0day 漏洞也在逐渐的延伸到包括 PC、服务器、移动终端、路由器、工控设备等多种类型的设备上,这就要求我们要进一步加强对 0day 漏洞能力的储备。在做防护之前,我们要清楚现有技术的一些缺陷,比如说高度依赖特征、基于已有知识体系、评价体系落伍、攻守不对称、缺乏关联能力、 对未知威胁缺乏感知等,这就要求我们关注攻防的基础,例如数据的重要性,在一些 APT 的案例中,支撑 APT 攻击最基础的也是最重要的就是情报的收集与分析,我们要关注新技术带来的机遇,但也要关注新技术给数据安全带来的挑战,在数据价值高度释放的同时,关注伴随而来的数据滥用、数据泄露、隐私薄弱等安全问题,在此基础上,构建动态可用的数据安全生态。
更多有关 APT 的最新内容,这本新书都有全面讲解哦。