360安全：“新基建”時代的網絡安全與APT攻擊(21頁).pdf

1、 “新基建”時代的網絡安“新基建”時代的網絡安 全與全與 APTAPT 攻擊攻擊 360360 企業安全集團企業安全集團 20202020 年年 3 3 月月 摘摘 要要 “新基建”熱潮持續升溫已成為各界關注焦點，對于目前深受疫情影響的中國來說， “新基建”是應對疫情和經濟下行最簡單且最有效的手段，兼顧供給和需求。但是在我們大 力投身“新基建”建設和發展的同時，也不能忽視因此而產生的更加復雜的網絡安全挑戰， 特別是 APT 攻擊。 “新基建”是“新型基礎設施建設”的簡稱，具體范圍包括了 7 大領域，分別是：5G 基 建、特高壓、城際高速鐵路和城市軌道交通、新能源汽車充電樁、大數據中心、人工智能

2、和工 業互聯網； “新基建”對于國民產生的影響主要可以分為以 5G 為代表進行科技創新、產業升級為核 心領域的配套基礎設施建設和以舊基建為基礎的“補短板”建設兩個方面； “新基建”進程的突然提速同時伴隨著機遇與挑戰，發展和安全是一體兩翼。隨著新型基礎設施 建設和應用的開展，相關業務安全風險、應用場景安全風險和關鍵技術安全風險也正逐漸浮出水 面。 回顧整個 2019 年，無論是 APT 組織數量，還是 APT 攻擊頻率，相比往年都有較大的增 長，APT 攻擊正逐漸呈現出常態化、高頻率的特性。 目前網絡空間已成為國家安全角力的主戰場?！靶禄ā睍r代不僅給信息安全帶來了安全的問 題，也為信息安全技術

3、的發展提供了新的發展機遇。未來，“360 安全大腦”將持續致力于防護 針對“新基建”的 APT 攻擊，為“新基建”的安全建設保駕護航。 目目 錄錄 前言 . 1 “新基建”是什么？ . 2 “新基建”對我們有何影響？ . 5 以 5G 為代表的“促創新” . 6 以舊基建為基礎的“補短板” . 8 “新基建”時代網絡安全和 APTAPT 攻擊 . 10 “新基建”時代的網絡安全，360360 做了什么？ . 16 1 前言前言 2020 年 1 月突如其來的新冠肺炎席卷了神州大地， 我國大部分行業均受到了不同程度的影響。 疫情的 沖擊疊加上經濟下行壓力的持續增加讓我國的宏觀政策更加趨向于“穩增

4、長”的發展方向。 一般來說， 如果想要對沖疫情影響、 努力實現經濟發展的預期目標， 就離不開基建的托底和拉動作用。 特殊時期在基建方面進行發力，既是國內外行之有效的經濟實踐，也符合經濟運行的客觀規律。 近日來“新基建”一詞橫空而出，受到了各大專家的關注和認可，升溫的速度超乎想象。從時間節點來 看，在 20 天的時間內中央級別的政府會議 4 次直接或間接提及“新基建” ，頻率可謂史無前例。 表表 1 1 “新基建”“新基建”概念會議提及梳理概念會議提及梳理 3 月 4 日 中央政治局常務委員會會議：要加大公共衛生服務、應急物資保障領域投入，加 快 5G 網絡、數據中心等新型基礎設施建設進度。要注

5、重調動民間投資積極性。 2 月 23 日 中央統籌推進新冠肺炎疫情防控和經濟社會發展工作部署會議：一些傳統行業受 沖擊較大，而智能制造、無人配送、在線消費、醫療健康等新興產業展現出強大成 長潛力。要以此為契機，改造提升傳統產業，培育壯大新興產業。 2 月 21 日 中央政治局會議：加大試劑、藥品、疫苗研發支持力度，推動生物醫藥、醫療設 備、5G 網絡、工業互聯網等加快發展。 2 月 14 日 中央全面深化改革委員會第十二次會議：基礎設施是經濟社會發展的重要支撐， 要以整體優化、協同融合為導向，打造集約高效、經濟適用、智能綠色、安全可靠 的現代化基礎設施體系。 那么受到大家如此熱捧的“新基建”到

6、底是什么，將帶來什么影響，與的“舊基建”又有何區別， “新 基建”時代下的網絡安全面臨的最大挑戰是什么？下文將詳細論述。 2 “新基建”“新基建”是什么是什么？ 所謂的“新基建”是“新型基礎設施建設”的簡稱，早在 2018 年 12 月的中央經濟工作會議中就已經 被首次提出。會議中強調要加快 5G 商用步伐、推動發展人工智能、工業互聯網、物聯網等；2019 年 3 月 政府工作報告又進一步指出“應加強新一代信息基礎設施建設” ，年末的中央經濟工作會議也強調要“穩步 推進通信網絡建設” 。 隨著數字技術與網絡技術的深入融合， 以大數據、 人工智能、 物聯網等新一代信息技術產業化應用為標 志的數字

7、經濟， 迫切需要一套完整的數字化基礎設施作為支撐。 相較于傳統基建， 聚焦于高質量發展的新型 基礎設施建設無疑更加適用于先進的科技腳步。 與俗稱“鐵公基”的鐵路、公路、機場等傳統基礎設施建設相比， “新基建”主要指以 5G、人工智能、 工業互聯網、 物聯網為代表的新型基礎設施建設， 其本質是信息數字化的基礎設施建設， 具體范圍主要包括 了 7 大領域， 分別是： 5G 基建、 特高壓、 城際高速鐵路和城市軌道交通、 新能源汽車充電樁、 大數據中心、 人工智能和工業互聯網。 表表 2 2 “新基建”“新基建”7 7 大細分領域及其應用大細分領域及其應用 領域領域 應用應用 “新基建”“新基建”

8、5G 基建 車聯網、物聯網、工業互聯網、企業上云、人工智能、遠程醫療等 特高壓 電力等能源行業 城際高速鐵路和城市軌 道交通 交通行業 新能源汽車充電樁 新能源汽車 大數據中心 金融領域、安防領域、能源領域、業務領域、以及個人生活等方面 彭昭 物聯網智庫.深度分析“新基建”，5G、工業互聯網 IIoT、物聯網 IoT 發展邏輯梳理 EB/OL. 3 人工智能 智能家居、服務機器人、移動設備、自動駕駛、其他行業應用 工業互聯網 企業內的智能化生產，企業和企業之間的網絡化協同，企業和用戶的 個性化定制，企業與產品的服務化延伸 從細分領域來看，領域分處于不同的層次。進一步拆解后可劃分為以下幾個層面

9、： 1. 最內核是為數字、信息經濟支柱提供基礎設施：即 5G、大數據、人工智能、云計算、物聯網、區 塊鏈等，如 5G 基站、IDC 數據中心等; 2. 第二層次是電子化、智能化改造現有城市的傳統基建設施，如智慧城市、智慧交通等項目; 3. 第三層次是在城市中發展新能源、 新材料的配套應用設施， 例如為新能源產業提供支持的充電樁、 光伏、垃圾發電等; 4. 第四層次也是最外層， 屬于補短板基建， 如科技園區開發、 連接城市群內部的城際高速鐵、 輕軌等。 圖圖 1 1 “新基建”“新基建”領域層次細分領域層次細分 整體來說， “新基建”可以理解為對傳統基建的擴展，兼顧了穩增長和促創新的雙重任務。隨

10、著政府的 花長春,張捷.新版“4 萬億”?”新基建”?29 省(市)兩會的線索 全國“兩會”前瞻系列(一)R.北京:國泰君安證 券,2020. 補短板：連接城市群內部城際高速鐵路、 城際高鐵、城市軌道交通、科技園區開 發等 新能源、新材料配套設施：充電樁、 光伏、垃圾發電等 電子化、智能化改造傳統：智慧城市、 智慧交通等 “新基建”服務數字經濟支柱：5G、大數據、 人工智能、云計算、物聯網、區塊鏈 4 愈加重視，人工智能、工業互聯網、物聯網等新型基礎設施建設將帶動通訊、計算機和電子等相關行業的產 品需求。新型基礎設施不僅是制造業轉型升級的關鍵也必將能激發更多的新增需求。 5 “新基建”“新基建

11、”對我們有何影響？對我們有何影響？ 隨著疫情的爆發以及 “新基建” 的持續升溫勢必會對目前的生活模式產生極大的影響， 線上需求集中釋 放，受人員隔離影響，疫情期間居民線上娛樂、遠程辦公、在線教育等流量行業快速發展，無人配送等新型 行業的需求也在逐步釋放，同時在疫情發酵的背景下，互聯網公司的大數據技術也得以在“數字防控”中大 施拳腳。 考慮到上述行業均離不開云計算、 大數據的支持， 對于以信息化、 智能化為導向的 “新基建” 而言， 當前的環境為其提供了良好的發展窗口；同時“新基建”的快速發展也將進一步促進科技水平的進步以及 商業模式和消費習慣的轉變，并形成“基建產業”的良性互動。 從目前的發展

12、來看，“新基建”對于國民產生的影響主要可以分為以下兩個方面： 一是以 5G 為代表的，以科技創新、產業升級為核心領域的配套基礎設施建設，總體上涵蓋了 5G 基站 建設、云計算、工業互聯網、大數據、互聯網數據中心、物聯網等幾大門類。其中 5G 毫無疑問成為了“新 基建”的重要抓手。未來 7 年間我國擬建設 600 萬個 5G 基站，并在此基礎上加快 5G 商用步伐，特別是 獨立組網建設步伐，推動 5G+工業互聯網融合應用，深化 5G 與工業、醫療、教育、車聯網等垂直行業的 融合發展。 二是所謂的“補短板”領域，與傳統基建相似，基建補短板也將會對軌道交通、教育醫療、金融、公共 設施等行業產生直接拉

13、動作用，并間接促進工程機械、水泥建材等行業。由于“新基建”也包括補齊交通運 輸、農村基礎設施和公共服務設施建設等短板，因此隨著“新基建”的持續開展，軌道交通（主要以城際、 高鐵為主） 、醫療養老（醫院、養老院、福利院等醫養結合項目） 、舊改、文體（文旅產業、小區體育場）等 行業也將迎來一定的發展機會，同時伴隨著產業鏈的傳導，建筑業、工程機械、水泥建材等上游行業也將迎 來新一波發展機遇。 6 以以 5G5G 為代表的“促創新”為代表的“促創新” 5G、大數據、人工智能、工業互聯網等狹義“新基建”將直接促進相關行業的發展，同時電子信息設 備制造業、信息傳輸服務業、軟件信息技術服務業等行業也將有所受

14、益。與傳統基建不同的是，狹義“新基 建”的關鍵在于促進傳統產業向數字化、網絡化、智能化轉型，因此“新基建”一方面將帶動基建自身的幾 大領域（如 5G、特高壓、大數據、人工只能、工業互聯網） ，同時也會帶動產業鏈上下游以及各行業的投 資應用，如電子信息設備制造業、信息傳輸服務業、軟件信息技術服務業等行業均有望獲益。此外，隨著工 業互聯網的持續推進， 工業企業內部也有望迎來網絡化、 信息化改造， 后續工業企業的生產效率也將迎來進 一步提高。 1 1、5G5G 基建進入快進模式基建進入快進模式 2020 年是我國進入 5G 規模商用的重要時期，“新基建”政策的發布將加快我國 5G 建設的步伐，加 速

15、 5G 普及。中國聯通網絡技術研究院首席科學家唐雄燕認為，5G 建設將是“新基建”最重要的任務，也 是我國信息通信業創新發展的戰略支點。5G“新基建”對于推動產業升級至關重要，未來 5G 建設規模有 望加速擴張，對產業鏈發展有積極促進作用，將利好 5G 基站、5G 傳輸、5G 核心網、5G 芯片等生產制 造環境。中國信通院辛勇飛表示，預計 2020-2025 年，5G 可直接拉動電信運營商網絡投資 1.1 萬億元， 拉動垂直行業網絡和設備投資 0.47 萬億元。 另一方面， “新基建” 有助于擴大和升級信息消費。 預計 2020- 2025 年，5G 商用將帶動 1.8 萬億元的移動數據流量消

16、費、2 萬億的信息服務消費和 4.3 萬億元的終端消 費 3。 2 2、云數據中心將加速增長云數據中心將加速增長 “新基建”政策的實施對于數據中心的發展也起到了明顯的推動作用。國家的“新基建”政策將帶動數 據中心基礎設施的進一步投資和發展，服務器、存儲等計算設備以及云計算軟件等平臺軟件的投入有望加 3 卓源科技. “新基建”風口已來：5G、AI、大數據發展升級？EB/OL. 7 大，對于整個產業都是一個重大的利好消息。 從目前數據來看，截止 2019 年三季度，全球共有 504 個超大規模數據中心，這些數據中心按照最保 守估計每個容納5萬臺服務器計算， 整體可容納服務器超過2500萬臺， 而全

17、球服務器年銷量不足1300 萬臺，另外還有 151 個超大規模數據中心在計劃或者建設中，也就說未來市場銷售的大部分服務器將會被 部署在超大規模數據中心。根據 IDC 數據顯示，在 2019 年全球企業和政府用于云基礎架構的投資正式超 過傳統的非云 IT 基礎架構的支出，過去幾年全球 IT 基礎市場的增長主要來自創新應用。 未來國家的“新基建”投資也將保持這一特點，主要集中于云服務器等創新產品的采購，加快服務器等 IT 基礎設施市場結構的調整，實現產業的升級換代。 3 3、人工智能突破發展瓶頸人工智能突破發展瓶頸 從國務院正式印發人工智能發展規劃以來，已有接近 30 個地方政府發布各自的人工智能

18、規劃，并逐漸 推動公共安全與服務領域率先落地。從企業層面來看，國內外已有包括谷歌、微軟、阿里、百度、騰訊、浪 潮等在內的眾多科技巨頭宣布將人工智能提升至戰略高度。 隨著算力、 算法和數據發展的不斷成熟， 將助力 人工智能突破發展瓶頸。 從人工智能的產業發展角度看：芯片、服務器、云計算等人工智能基礎設施已經初具規模；機器學習、 計算機視覺、語音及自然語言處理等人工智能算法迭代優化正在不斷加快；人工智能的場景化、產業化應 用，與實體經濟的融合將成為下一階段發展的重點。 “新基建”的提出無疑給產業 AI 化的發展注入了“催化劑” ，將極大促進人工智能基礎設施、算法、產 業應用的協同發展。雖然此次疫情

19、對經濟產生了一定程度的沖擊，但數字經濟的損失在相比之下就顯得有 些微不足道。很多此前在數據中心、人工智能計算力方面投資的企業已經獲得紅利。在線教育、在線辦公、 互聯網電商等領域的很多業務也獲得了十幾倍甚至幾十倍的增長。人工智能在此次疫情防控中發揮了極大 的應用價值，數據中心、人工智能等“新基建”在現實中已經顯現出了巨大的價值。 未來，人工智能將在此基礎上努力打造良性的 AI 產業生態鏈，并有望在自動駕駛、AI 教育、AI 醫療等 8 方向的發展中進行持續創新。 以舊基建為基礎的“補短板”以舊基建為基礎的“補短板” 1 1、穩增長邏輯下，穩增長邏輯下，城際高鐵、城際軌道有望“公交化”城際高鐵、城

20、際軌道有望“公交化” 從 2008 年京津城際鐵路開通以來，我國城際高鐵、城際軌道交通建設遍地開花，這背后顯示出了我國 城市群布局和架構的日益完善。目前，全國已經形成包括京津冀、珠三角、長三角在內的 20 多個城市群。 城際軌道交通的出現把城市和城市群之間進行了連接， 起到了通勤、 公交化運營的作用。 目前國家大力發展 城市群的概念，強化都市圈層面的一小時通勤，在此背景下城際軌道交通和城際鐵路也就成為了一個重要 的組成單元。 目前城市軌道交通已成為我國基建重點。截至 2018 年底，我國（不含港澳臺）共有 35 個城市開通城 市軌道交通運營線路 185 條，運營線路總長度 5761.4 公里，

21、可研批復投資額累計 42688.5 億元。此外， 截至 2018 年底共有 63 個城市的城軌交通線網規劃獲批（含地方政府批復的 19 個城市） 。其中城軌交通 線網建設規劃在實施的城市共計 61 個，在實施的建設規劃線路總長 7611 公里（不含已開通運營線路） ， 規劃、在建線路規模穩步增長 4。 從長遠來看，城際鐵路建成后，將成為城市圈的血脈，各種要素通過它自由流動，效率遠高于其它交通 方式， 這對城市群發展意義重大， 尤其產業向高級化發展之后， 生產性服務業等需要靠知識創新進行發展的 產業， 比如科技研發、 商業服務等更加需要人員之間的交流。 而人員之間的交流也會因為城際交通時間的縮

22、短而變得更加便捷。 2 2、疫情疫情促進教育、醫療行業轉型升級促進教育、醫療行業轉型升級 疫情爆發是史無前例的全民健康教育，未來國家會把疾病預防放在更加重要的位置上，國民健康消費 4 丁靜 中國證券報. 我國 35 個城市開通軌道交通EB/OL. 9 支出有望持續增加，這也使得醫療健康行業的發展前景和投資價值更為凸顯。2020 年資本市場投融資普遍 收緊的趨勢已經可以預見，但醫療健康行業的投融資卻有望逆勢而上。從社會發展來看，補足民生短板、加 快智慧城市建設成為“新基建”重要內容。此次新冠肺炎疫情的暴發暴露出我國城市管理能力，特別是應對 公共衛生危機能力薄弱，提升我國城市管理水平，加強包括醫療

23、衛生、公共防疫、應急管理能力在內的公共 衛生安全體系建設，加快智慧城市的建設成為剛需，在這些方面都需要更多的基礎設施建設投資。 從教育行業來看，新冠肺炎的出現讓在線教育、云教育的需求大量增加。自 2015 年以來，國務院、工 信部就出臺了多項文件支持在線教育的發展，隨著 5G+工業互聯網的融合應用，5G 與教育等垂直行業勢 必將進行融合發展，行業有望迎來轉型。 3 3、金融云快速發展助力金融基礎架構轉變金融云快速發展助力金融基礎架構轉變 金融基礎設施是金融市場穩健高效運行的基礎性保障，是加快現代金融建設和強化風險防控的重要抓 手，伴隨著人工智能（AI） 、云計算、大數據和物聯網等數字化技術的發

24、展，金融行業的數字化轉型進程也 在不斷加速。 一般來說，金融機構的傳統 IT 架構采用的是集中式架構，核心業務系統運行在小型機上，性能可靠是 重要標準。近年來隨著國家信創政策的實施，移動互聯網金融業務的興起，普惠金融業務量的迅速提升，以 及利率市場化導致收入受限， 金融信息系統采用分布式架構已成大勢所趨。 通過實施分布式架構改造， 可以 構建起高可用、易擴展、低成本的現代金融信息體系。 另一方面，自 2019 年以來金融 IT 信息創新受到政策密集支持，金融業自主創新主要集中在銀行業， 從最初將 IBM 大型機小型機更換為 X86/ARM 架構服務器，到現在自主創新邏輯進一步深化，持續在底層

25、芯片、操作系統、數據庫、辦公軟件等基礎軟硬件上發力，逐步遷移至自主創新云平臺的架構，金融基礎架 構轉變已進入快速發展階段。 10 “新基建”“新基建”時代時代網絡安全網絡安全和和 APTAPT 攻擊攻擊 “新基建”進程的突然提速必然同時伴隨著機遇與挑戰。通過“新基建”建設，能夠幫助城市安全業務 打下一個好的技術基礎，為未來提供更多的技術可能性。并且“新基建”的興起也能夠從基礎設施層面促進 相關產業發展，提升競爭實力，促進相關上下游產業快速發展。但是所有的發展勢必會涉及到新的問題，發 展和安全是一體兩翼。 隨著新型基礎設施建設和應用的開展， 相關業務安全風險、 應用場景安全風險和關鍵 技術安全風

26、險也正逐漸浮出水面。 “新基建”時代下網絡安全面臨的挑戰會愈加多樣化，具體可表現為以下幾個方面 5： 1 1、從外部防御到內部對抗，由外到內、從外部防御到內部對抗，由外到內 首先隨著 5G 網絡、物聯網、大數據中心等數字基建的開展， 未來數字化系統和服務的部署和運營模式 將更加開放、互通和生態化，導致邊界更加模糊化和攻擊面擴大化，將帶來新的安全威脅和風險，對數據保 護、 安全防護和運營部署等方面提出了更高要求。 尤其是網絡攻擊將從內部發起的可能性大幅度增加， 防御 者將很難發現威脅， 更難于判斷攻擊來自哪里， 攻擊目標是什么， 攻擊方式是什么以及什么時候發生。 同時， 為了保障數字經濟的可持續

27、性發展，將對安全防護能力提出更高要求，需要在復雜網絡威脅形勢下有效保 障數字化業務的可用性、可生存性和可恢復性。 2 2、從關鍵基礎設施保護到數字基礎設施保護，由點及面、從關鍵基礎設施保護到數字基礎設施保護，由點及面 其次，由于最初的關鍵基礎設施保護（CIP）大多是圍繞重點行業開展，這些行業一般都有充足的資金 建設嚴密的安全防護體系， 但是隨著數字基建的開展需要重點保護的基礎設施將大規模增加。 同時， 由于數 字基建相關軟硬件產品的漏洞、數字基礎設施對于 APT 威脅的高價值吸引、數字基礎設施間具備多種網絡 互連等因素， 防控網絡安全風險將是數字基建的長期主線。 需要更多的資金用于配置相應的安

28、全設備、 安全 5 360 未來研究院智庫安全研究員高昕 證券市場紅周刊. 360 深度解析：數字基建時代的四大安全挑戰EB/OL. 11 系統、安全服務和團隊，以支撐對數字基礎設施的全面安全防護。 3 3、從網絡空間到現實空間，虛實結合、從網絡空間到現實空間，虛實結合 另外， 由于大量業務伴隨數字化遷移到數字基礎設施以及物聯網的廣泛應用， 例如智能交通運輸、 智能 家居、智慧城市和智能制造等，網絡攻擊不但會影響虛擬空間的數據隱私和系統/服務的正常運行，還會逆 向影響人們所處的辦公環境、 家居環境、 出行環境等生活的方方面面， 從而造成現實中的財產安全和生命安 全等物理空間安全問題。此類網絡安

29、全問題也會影響到整個數字經濟的正常運行，波及到政府、企業和個 人。其中，隨著零售、金融、企業合作等傳統業務的數字化，網絡犯罪活動將圍繞數字基建和其上承載的業 務快速增加，造成更加嚴重的問題。企業業務的數字化，阻斷式網絡攻擊將會影響企業經濟活動的正常開 展， 滲透式網絡攻擊將對企業開展竊密行為， 都將有可能給企業造成嚴重的損失。 對于政府業務的數字化， 網絡威脅也將影響社會管理工作的正常開展， 影響政府的公信力和形象。 并且隨著民眾對在線購物、 交通、 醫療、辦公等生活模式的依賴，網絡威脅同時將會嚴重干擾人們的日常生活。 4 4、從網絡空間攻防到數字經濟博弈，綜合實力比拼、從網絡空間攻防到數字經

30、濟博弈，綜合實力比拼 未來，伴隨著國家經濟活動進一步向虛擬空間轉變，作為承載數字經濟的數字基礎設施也將成為從網 絡安全攻擊方（搗蛋小子、犯罪團伙、恐怖組織、國家力量）到商業競爭者的重要博弈平臺。在經濟利益驅 使下，將會產生更加激烈的網絡空間對抗，遠遠超出單個企業和組織的能力范圍。因此，需要匯聚數字基礎 設施運營者、數字經濟產業、安全行業和國家監管機構等多方力量，共同應對。 近些年來，國際格局日趨復雜，中國與國際的技術交流、技術合作及技術供應鏈有被阻斷風險，如果在 “新基建”過程中沒有考慮到網絡安全，那么可能造成的后果將是不可預計的。 “新基建”時代下的網絡攻 擊將不會僅僅是傳統的網絡攻擊， 而

31、是將從數字空間延伸到物理空間， 造成非常嚴重的后果， 在此背景下我 們就更需要注重網絡安全的重要，尤其是要時刻警惕 APT 攻擊的發生。 5 5、面臨巨大的面臨巨大的 APTAPT（Advanced Persistent ThreatAdvanced Persistent Threat）攻擊威脅）攻擊威脅 回顧整個 2019 年，雖然并沒有發生過于轟動的 APT 攻擊事件，但是攻擊的事件數量卻有增無減，無 12 論是 APT 組織數量，還是 APT 攻擊頻率，相比往年都有較大的增長。這一現象在某種程度上也顯示出了 APT 攻擊正逐漸呈現出常態化、高頻率的特性。 一般來說，大部分 APT 組織背

32、后都有著深厚的政府背景，他們不懼法律，也不會因為安全廠商的披露 而停止攻擊活動， 大部分攻擊者會在攻擊活動暴露后改頭換面、 更新武器庫并重新發起新一輪攻擊， 更有部 分組織對安全廠商的曝光毫不在意，不但毫不收斂甚至變本加厲繼續對目標發起攻擊，據不完全統計，在 2019 年全球各大安全廠商披露的 APT 攻擊事件中，新組織所占的比例不足 2 成，絕大部分是老組織進行 新的攻擊活動，這也直接印證了攻擊不會因為曝光而停止的特性，APT 與反 APT 的對抗是長期戰斗。 圖圖 2 20192 2019 年新老組織所占比例分布年新老組織所占比例分布 從受害者的性質來看，政府、央企國企、科研單位和高校依然

33、是 APT 攻擊的重災區，尤其是涉及對外 進出口、國防軍工、外交等重點單位。從行業分布上看，APT 組織的主要攻擊目標包括政府、軍隊、外交、 國防，科研、能源以及其他一些具有關鍵信息基礎設施性質的行業和產業。 13 圖圖 3 3 APTAPT 攻擊受害者行業分布攻擊受害者行業分布 中國歷來都是 APT 攻擊的主要受害國，隨著中國經濟的快速發展，以及國際地位的不斷攀升，中國面 臨的外部威脅形勢更加嚴峻，從目前情況開看針對我國進行 APT 攻擊的組織主要有以下幾個： 海蓮花（海蓮花（APTAPT- -C C- -0000） “海蓮花”APT 組織是一個長期針對我國政府、科研院所、海事機構、海域建設

34、、航運企業等領域的 APT 攻擊組織，是近年來針對中國大陸攻擊最頻繁的組織之一。該組織在過去不僅頻繁對我國境內實施 APT 攻擊，也針對東南亞周邊國家實施攻擊，包括柬埔寨，越南等。 表表 3 3 海蓮花組織的攻擊過程海蓮花組織的攻擊過程 攻擊階段攻擊階段 使用技術使用技術 攻擊入口攻擊入口 利用魚叉郵件投遞漏洞文檔，如 CVE-2017-11882 漏洞文檔 初始控制初始控制 遠程下載偽裝成圖片的 PowerShell 腳本載荷 利用白利用技術執行核心 dll 載荷 橫向移動橫向移動 主要利用系統命令實現橫向移動： 使用 nbt.exe 進行掃描 net.exe 實現 IPC 用戶添加 MsB

35、uild.exe 在內網機器上編譯生成惡意 dll 模塊并執行 14 “海蓮花”攻擊目標眾多且廣泛，包括政府部門、大型國企、金融機構、科研機構以及部分重要的私營 企業等。該組織攻擊人員對我國的時事、新聞熱點、政府結構等都非常熟悉。據 360 威脅情報中心監測， 該組織在 2017 年疑似利用永恒之藍針對國內高校的攻擊測試活動。并且在 2018 年對該組織的持續跟蹤 過程中還發現海蓮花組織針對柬埔寨和菲律賓的新的攻擊活動，并且疑似利用了路由器的漏洞實施遠程滲 透 6。 毒云藤（毒云藤（APTAPT- -C C- -0101） 毒云藤（APT-C-01）也被國內其他安全廠商稱為窮奇、綠斑。該組織從

36、 2007 年開始至今，對中國 國防、政府、科技、教育以及海事機構等重點單位和部門進行了長達 11 年的網絡間諜活動。主要關注目標 包括軍工、中美關系、兩岸關系和海洋相關領域，是專門針對中國大陸而生的黑客組織。該組織近年來的攻 擊活動雖然有所收斂， 攻擊事件大大減少， 但是攻擊活動卻從未停止過， 攻擊手段和攻擊技術也在不斷的提 升中。 圖圖 4 4 360360 截獲的該組織魚叉郵件內容截獲的該組織魚叉郵件內容 在 2019 年，該組織主要進行的攻擊種類為釣魚攻擊，通過仿造 QQ 郵箱中轉站和網易郵箱超大附件 6 15 下載的頁面， 誘騙被攻擊者輸入賬號密碼的方式， 來達到竊取郵箱賬戶和密碼的

37、目的， 從而進行下一階段的 攻擊。 藍寶菇（藍寶菇（APT-C-12） 藍寶菇（APT-C-12）組織的活動最早起源于 2011 年，并從開始一直持續至今，對我國政府、軍工、科 研、 金融等重點單位和部門進行了持續的網絡間諜活動。 該組織主要關注核工業和科研等相關信息， 攻擊目 標主要集中在中國大陸境內。 藍寶菇大多使用魚叉郵件實施攻擊，投放的文件主要為 RLO 偽裝成文檔的可執行文件或 LNK 格式文 件。從攻擊來源來看，藍寶菇和毒云藤兩個組織屬于同一地域，但使用的 TTP 卻存在一些差異。 表表 4 4 毒云藤和藍寶菇毒云藤和藍寶菇 TTPTTP 對比對比 組織名稱組織名稱 毒云藤毒云藤

38、藍寶菇藍寶菇 最早活動最早活動 2007 年 2011 年 攻擊目標攻擊目標 國防、政府、科技、教育、海事 政府、軍工、科研、金融 攻擊入口攻擊入口 魚叉攻擊 魚叉攻擊 初始載荷初始載荷 漏洞文檔或二進制可執行文件 RLO 偽裝成文檔的可執行文件或 LNK 格式文 件 惡意代碼惡意代碼 Poison Ivy，ZxShell，XRAT Poison Ivy、Bfnet PowerShell 實現的后門 控制回傳控制回傳 動態域名，云盤，第三方博客 動態域名或 IDC IP AWS S3、新浪云等云服務 除去上述提到的幾個組織，還有包括摩訶草、蔓靈花、Darkhotel，Group 123 等一系

39、列 APT 組織持續對 中國進行攻擊，中國的網絡安全正面臨著嚴峻的挑戰。 16 “新基建”“新基建”時代時代的網絡安全，的網絡安全，360360 做做 了什么？了什么？ 通過對行業趨勢以及攻擊形式變化情況來看，APT 組織在攻擊中正變得愈加謹慎，隨著“新基建”時 代我國信息基礎設施快速發展的同時，APT 攻擊也將伴隨著著 5G 和物聯網技術的發展具備更強大的攻擊 能力，可以預見未來網絡攻擊破壞活動勢必會更加復雜且頻繁。 境外針對中國境內目標的攻擊最早可以追溯到 2007 年，對中國境內超過萬臺的電腦產生了影響，攻擊 范圍遍布國內 31 個省級行政區。從 2014 年開始， “360 安全大腦”

40、通過整合海量安全大數據，實現了 APT 威脅情報的快速關聯溯源，獨家發現并追蹤了四十個 APT 組織及黑客團伙， 獨立發現了多起境外 APT 組織 使用“在野”0day 漏洞針對我國境內目標發起的 APT 攻擊，大大拓寬了國內關于 APT 攻擊的研究視野和 研究深度，填補了國內 APT 研究的空白。 可以說攻防能力是一直是 360 的核心安全能力之一。公司通過數十年在安全領域的數據積累，在全網 安全大數據、態勢感知和分析、漏洞挖掘能力、APT 攻擊的發現等方面的能力均處于全球領先位置。擁有 最大的程序文件樣本庫，總樣本數 180 億+；最全的程序行為日志庫，總日志數 22 萬億條；最大的存活網

41、 址庫，每天 800 億活躍網址訪問記錄；最全的全球域名信息庫，全球 80 億域名信息。通過 “360 安全大腦” 發現的 APT 攻擊和部分國外安全廠商機構發現的 APT 攻擊事件都可以直接證明中國是 APT 攻擊中的主要 受害國。 一直以來公司為十余個國家部委、 監管機構及央企國企等提供網絡攻防實戰演練服務， 演練規?？涨?。 通過演練使國家重點單位及機構能夠切實了解網絡攻擊對核心業務和數據的實際影響，鎖定其防守的薄弱 環節，從而向可防御有組織進攻的能力邁進。借助大數據分析、人工智能和強大的專家系統能力， “360 安 全大腦”在監測和應對國際網絡威脅方面成功溯源和發現多個境外高級持續性威脅

42、攻擊(APT)組織。 17 在發現未知威脅方面，360 團隊已做出多項領先成績。2019 年，360 威脅情報中心全球獨家捕獲了一起 一直活躍在中亞地區， 從未被外界知曉的 APT 組織， 并將其命名為黃金雕(APT-C-34)。 2019 年 10 月 20 日， 360 發布了 360 全視之眼，能夠捕獲 0day 漏洞攻擊，防范網絡攻擊于未然。 圖圖 5 360 截獲的誘餌文檔（包括華為路由器說明書、偽造的簡歷等）截獲的誘餌文檔（包括華為路由器說明書、偽造的簡歷等） 在今年 3 月初， “360 安全大腦”更是通過對泄漏的“Vault7（穹窿 7） ”網絡武器資料的研究，對其展 開深入分

43、析和溯源，于全球首次發現捕獲了美國中央情報局 CIA 攻擊組織（APT-C-39）對我國進行的長達 十一年的網絡攻擊滲透。 圖圖 6 （APT-C-39）攻擊影響地區）攻擊影響地區 18 其中 CIA 在針對我國航空航天與科研機構的攻擊主要是圍繞機構的系統開發人員來進行定向打擊。在 此期間，我國航空航天、科研機構、石油行業、大型互聯網公司以及政府機構等多個單位均遭到不同程度的 攻擊。在調查分析過程中， “360 安全大腦”通過資料比對列舉出了五大關聯證據，石錘證明該組織與美國 CIA 的關聯。種種證據也表明，美國已打造了全球最大的網絡武器庫，這不僅給全球網絡安全帶來了嚴重威 脅，更是展示出該

44、APT 組織高超的技術能力和專業化水準。 可以說當今時代， 網絡空間已成為國家安全角力的主渠道、 主戰場、 最前沿。 網絡控制、 諸多病毒感染、 網絡犯罪等威脅頻頻發生。APT 攻擊愈演愈烈的背后，是國家間網絡安全對抗戰日趨緊張的表現，可以說 只要存在政治目的和經濟利益，APT 組織的攻擊就不會停止，我們必須時刻以最高的安全意識來應對各種 不同的網絡風險和攻擊。 “新基建”時代不僅給信息安全帶來了安全的問題，也為信息安全技術的發展提供 了新的發展機遇， 它就像是一把雙刃劍， 既可以利用新興技術提升防控， 也可以為安全分析提供新的可能。 未來，“360 安全大腦”也將繼續致力于防護針對“新基建”的 APT 攻擊，為“新基建”的安全建設保駕 護航。