近日,360威胁情报中心发布《2016中国高级持续性威胁(APT)研究报告》显示,在过去的2016年,2016年我国所有省份均遭受过高级网络攻击。无论沿海省份还是内陆地区,都没有幸免于来自海内外的高级网络攻击。此外,无论是相关研究报告的数量,还是攻击组织的数量,中国都已是全球APT攻击的第一目标国。
根据360威胁情报中心的统计显示(不含港澳台地区):国内受APT攻击影响最大,感染专用木马用户最多的省级行政区依次是:广东、北京、浙江、江苏、山东。而受影响最小,专用木马感染量最小的五个省级行政区依次是:新疆、海南、宁夏、青海、西藏。
通过对360威胁情报中心截获的36个APT组织专用木马的全网检测分析发现,截至2016年12月,国内疑似APT攻击目标的组织机构近200个。
若按照机构的数量统计,大学占比最高,为40.0%;其次是企业,占比25.0%;再次是政府及事业单位,占比18.3%;还有科研机构占比11.1%,其他机构或个人,占比5.6%。
若按照机构内设备感染专用木马的数量统计,则企业是第一大疑似攻击目标,占比为35.2%;其次是大学,占比30.3%;政府及事业单位占比22.2%,科研机构占比7.7%;其他机构或个人占比4.6%。
APT组织攻击不同类型的境内机构,其攻击领域和目的也有所不同。
在针对高校的攻击中,攻击者除了会攻击大量的综合性大学外,还会专门攻击通信与计算机、军事与国防、涉外学科等专业领域的院校。在针对企业的攻击中,攻击者重点关注的领域依次是:通信网络、电子电器、海洋与港口、能源化工、交通运输、航空航天和网络安全。在针对政府机构和事业单位的攻击中,攻击者重点关注的领域依次是:涉外机构、海洋、教育、国土与地质、农业、水利和通信网络。
在针对科研机构的攻击中,攻击者重点关注的领域依次是:海洋科学、涉外研究、前沿学科、通信与计算机、社会科学、地质科学、生命科学和农业科学。
从攻击组织来源来看,既有来自海外的黑客组织,也有来自境内、出于商业目的的攻击。2015年12月,360企业安全基于日常应急响应记录结合云端大数据,发现一系列针对金融机构的定向攻击事件,挖出长达12年进行敏感金融交易信息窃取的境内APT组织——黄金眼,国内多家金融机构被受攻击。此外,360天眼实验室还披露了索伦之眼、摩诃草等针对我国的境外APT组织,这些海外组织长期针对我国的政府、教育科研机构进行攻击,旨在窃取敏感情报,给相关部门造成巨大损失。
据360企业安全集团副总裁、天眼实验室负责人韩永刚介绍,从高级网络威胁的影响范围看,我国所有省份均曾受到过攻击,仅仅是危害程度上存在差异。此外,“一带一路”、“军民融合”等大型国家系统工程和战略方向,都是APT组织关注的焦点,且未来数年仍将持续。这些领域往往是多学科,多领域的合作工程,涉及到边疆地区建设、沿海工程建设、外交外贸等多个领域。这说明,无论是东部沿海发达区域还是内陆省份,在应对高级网络威胁上都面临同样严峻的挑战。
从国际上看,2016年,全球的高级网络攻击活动空前活跃,网络空间已经成为大国博弈的新领域。从全球来看,全球多家金融机构因黑客攻击而遭受经济损失,乌克兰电网遭攻击而出现大面积停电,以及伊斯兰教大赦之夜,沙特多家重要机构遭到严重网络攻击。最引发关注的则是美国大选期间,美国民主党遭遇的高级网络攻击,因此泄露的信息直接影响美国大选结果,令希拉里落败。
值得我们注意的是,与我国已是全球APT攻击第一目标国、各省份均受影响的形势形成对比的是,我国的高级网络威胁发现能力依然不足,落后于美、俄等国,只能位居第二梯队。安全专家认为,这是由于APT攻击具有针对性强、隐蔽性高、代码复杂度高等特点,对于安全厂商的能力要求极高,无法依靠传统的边界防护理念来应对这类威胁,需要采取大数据分析等创新技术,才能做到及时发现威胁,降低信息泄露和设施瘫痪的风险。
据了解,360利用互联网安全的安全大数据积累和大数据分析能力,基于协同联动的安全理念打造出了新一代安全防护体系,其中包括国内首个专注于APT等高级威胁发现和检测的感知系统——360天眼新一代威胁感知系统,利用威胁情报和大数据分析技术,帮助企业和机构“精准发现”网络中的高级威胁。在2016年,360天眼实验室发布了36个APT组织,有力地维护了国内政企用户的信息安全。
