欢乐颂第一季,遮天,盗墓笔记第二季

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

木馬雪崩到APT的關(guān)聯(lián)與必然

溫故.2006——這是一個(gè)充滿預(yù)言、讖語(yǔ)和詛咒的年代，這是一個(gè)人人皆神、諸佛俱死的年代，我自己也曾因某個(gè)只言片語(yǔ)的應(yīng)驗(yàn)，找到先知先覺(jué)的感覺(jué)，但推敲起來(lái)才發(fā)覺(jué)自己的狂悖。因此，今天我想認(rèn)真回顧一篇2006年所做的技術(shù)報(bào)告，進(jìn)行一場(chǎng)反思。

專注于為中小企業(yè)提供成都網(wǎng)站制作、成都網(wǎng)站建設(shè)服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)青岡免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都，凝聚了一批互聯(lián)網(wǎng)行業(yè)人才，有力地推動(dòng)了上千企業(yè)的穩(wěn)健成長(zhǎng)，幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。

2006年對(duì)于整個(gè)反病毒的發(fā)展來(lái)說(shuō)是一個(gè)特殊的年份。病毒從最早的狹義的感染式惡意代碼的定義，已經(jīng)開(kāi)始成為涵蓋了蠕蟲(chóng)、木馬的統(tǒng)稱，而蠕蟲(chóng)被作為研究和產(chǎn)業(yè)熱點(diǎn)的關(guān)注度也已經(jīng)開(kāi)始下降，木馬也開(kāi)始呈現(xiàn)爆炸式的增長(zhǎng)趨勢(shì)。2006年全年產(chǎn)生的惡意代碼總量比1986年到2005年這20年間所產(chǎn)生的惡意代碼總數(shù)還要多。

2006年9月25日，筆者在武漢大學(xué)做了題為《后冷戰(zhàn)時(shí)代的病毒捕獲體制》的報(bào)告，其技術(shù)關(guān)鍵詞為“木馬、蜜罐、旁路捕獲、未知檢測(cè)…. ”，報(bào)告的觀點(diǎn)為“當(dāng)前木馬與AV之間的對(duì)抗已經(jīng)從辨識(shí)對(duì)抗、查殺對(duì)抗進(jìn)入到體系對(duì)抗階段”，筆者稱之為“‘后冷戰(zhàn)’時(shí)代”。今天的報(bào)告正是從對(duì)此的反思開(kāi)始，因此稱其為“溫故2006”。

六年前我們認(rèn)為：木馬數(shù)量呈幾何級(jí)數(shù)增長(zhǎng)的趨勢(shì)，而溢出技術(shù)、驅(qū)動(dòng)技術(shù)、流文件技術(shù)及信息偽裝技術(shù)等眾多黑客技術(shù)都開(kāi)始被應(yīng)用到木馬程序編寫(xiě)中。木馬的發(fā)展對(duì)反病毒的挑戰(zhàn)表現(xiàn)于：數(shù)量失控、黑客技術(shù)、偽裝技術(shù)和專有性應(yīng)用等。

該報(bào)告得出“木馬動(dòng)搖了反病毒體系的根基”的結(jié)論：傳統(tǒng)AV技術(shù)的根本鏈路是編制>>流行>>捕獲>>處理，而捕獲才是AV的根基。AV的機(jī)理是以樣本滿足一定的流行范圍或公開(kāi)發(fā)布為基礎(chǔ)，立足于后發(fā)式的一對(duì)一處理。在此情況下，全面捕獲已經(jīng)趨近不可能，分析處理強(qiáng)度已趨近不收斂，必須有全新的思路作補(bǔ)充。

此前，我們還提交了一份題為《“中國(guó)信息安全將崩盤(pán)”于木馬的結(jié)論》的安天內(nèi)部分析報(bào)告。時(shí)隔六年，我們的結(jié)論是否得到驗(yàn)證呢?

迷失.2012——2012，一個(gè)讓思想者茫然，行動(dòng)者迷失的年份。

2000~2012數(shù)據(jù)回溯

我們分別選取了2000年10月24日、2006年11月10日、2012年11月27日三個(gè)時(shí)間節(jié)點(diǎn)的惡意代碼分類數(shù)量統(tǒng)計(jì)，用以對(duì)比分析惡意代碼的發(fā)展趨勢(shì)。為了保證數(shù)據(jù)的可信度，我們并未采用己方數(shù)據(jù)，而是采用了消重后的某國(guó)際知名廠商的病毒庫(kù)中的病毒名稱列表。

圖 1 ：選取2000、2006、2012三個(gè)時(shí)間點(diǎn)的惡意代碼累計(jì)總量增長(zhǎng)示意圖

圖 2：2000、2006、2012三個(gè)時(shí)間點(diǎn)的惡意代碼分類比例構(gòu)成

以上數(shù)據(jù)顯示，從2006年到2012年間出現(xiàn)的惡意代碼中，比例最大的顯然是Trojan。其數(shù)量從2006年的8.4萬(wàn)余種增長(zhǎng)到2012年的726萬(wàn)余種，而其他類型的惡意代碼盡管均有不同程度的增長(zhǎng)，但卻完全被木馬的增長(zhǎng)掩蓋掉了。那么我們的“木馬崩盤(pán)”的預(yù)言是正確的么?

失效的預(yù)言

確實(shí)存在木馬數(shù)量爆炸式的增長(zhǎng)并未得到遏制的事實(shí)。但我們不能不面對(duì)兩個(gè)問(wèn)題：

第一，信息安全整體崩盤(pán)了嗎?沒(méi)有。網(wǎng)銀、網(wǎng)游等產(chǎn)業(yè)依然在快速成長(zhǎng)，用戶的安全體驗(yàn)實(shí)際上在提升。

第二，反病毒的根基動(dòng)搖了嗎?同樣沒(méi)有。我們看到的是整個(gè)信息社會(huì)和信息安全產(chǎn)業(yè)在攻擊威脅的增長(zhǎng)中所呈現(xiàn)出的一種異常旺盛的發(fā)展和適應(yīng)能力，不但沒(méi)有崩盤(pán)，反而是壯大發(fā)展了。

信息安全的狀況并非是隨著惡意代碼數(shù)量的激增而急劇惡化的，而是呈現(xiàn)出一種微妙的平衡態(tài)，這是值得反思的。因此我們是做出了誤判，但我們更大的誤判還不在這一點(diǎn)，而是我們過(guò)度的思索了數(shù)量膨脹帶來(lái)的挑戰(zhàn)，卻沒(méi)有展開(kāi)更辯證的思考，導(dǎo)致沒(méi)有把握住今天的威脅——沒(méi)有對(duì)類似APT(高級(jí)可持續(xù)威脅等趨勢(shì))給予足夠的預(yù)判和警惕。Flame、Duqu、Gauss和Stuxnet，它們既不是木馬，不是蠕蟲(chóng)，也不是僵尸網(wǎng)絡(luò)，而是APT。我們最大的失誤不是沒(méi)有遏制昨天的威脅，而是沒(méi)有有效應(yīng)對(duì)今天的威脅。

2006.我們預(yù)言了APT么?

在2006年，我們是否對(duì)APT這種現(xiàn)象有所感知呢?答案是“有”。在“后冷戰(zhàn)”報(bào)告中，我們提出了一個(gè)詞匯“專有化”，并提出“經(jīng)濟(jì)利益化和政治利益化促進(jìn)木馬向定向性、專有化發(fā)展;從傳統(tǒng)的散步行為向定向行為轉(zhuǎn)化，不需要大面積傳播也能達(dá)到一定目的”的觀點(diǎn)。縱觀這些文字，我們?nèi)绻源诞?dāng)年就預(yù)測(cè)了APT是“自戀+自欺欺人“的，因?yàn)锳PT不是一種木馬，不是一類單一的惡意代碼，它是一整套的攻擊方法和資源體系，而當(dāng)時(shí)我們并沒(méi)有跳出一個(gè)傳統(tǒng)反病毒工程師的角度來(lái)看待這一問(wèn)題。

2006-2012.失落的度量衡

在2006年那場(chǎng)報(bào)告中，我們通過(guò)2001、2005年兩次反病毒橫向檢出率對(duì)比，展示了木馬時(shí)代反病毒檢出率顯著下降的趨勢(shì)，并以此數(shù)據(jù)作為惡意代碼進(jìn)入“后冷戰(zhàn)”時(shí)代的支撐。但面對(duì)類似APT等新興威脅，傳統(tǒng)查殺率統(tǒng)計(jì)已經(jīng)失去了意義，安全廠商能力表現(xiàn)的度量衡又是什么呢?

我們?cè)?jīng)對(duì)比2000～2006年若干個(gè)流行蠕蟲(chóng)的初始流行時(shí)間和廠商感知時(shí)間，我們發(fā)現(xiàn)雖然其中部分蠕蟲(chóng)出現(xiàn)使安全廠商措手不及，但大部分至少是在24小時(shí)內(nèi)被捕獲，有的時(shí)間稍長(zhǎng)但也是以天來(lái)計(jì)算。而APT時(shí)代，我們對(duì)相關(guān)惡意代碼的感知時(shí)間則以年為單位來(lái)計(jì)算，其中Flame是在初始活動(dòng)近5年后才被發(fā)現(xiàn)的，這是由于投放的定向性、條件觸發(fā)、自毀等方法導(dǎo)致的攻守不平衡。而另一原因也是境內(nèi)外能力與信息的不對(duì)稱，無(wú)法得到國(guó)外工控等廠商的技術(shù)支持。如國(guó)內(nèi)機(jī)構(gòu)在Stuxnet的每一個(gè)關(guān)鍵分析節(jié)點(diǎn)形成成果的時(shí)間都比境外晚一個(gè)月到45天左右，其中很多分析點(diǎn)我們都不能獨(dú)立完成，這里既有投入和水平的因素，也有與境外分析團(tuán)隊(duì)信息不對(duì)稱的原因。

彎路. 2006～2012——誤判不是無(wú)代價(jià)的，誤判必然導(dǎo)致錯(cuò)誤的導(dǎo)向和行動(dòng)。分析我們沒(méi)有有效應(yīng)對(duì)木馬時(shí)代的原因，或許可以為我們有效應(yīng)對(duì)APT時(shí)代提供參考。

我們從目前的角度回顧當(dāng)時(shí)對(duì)木馬的理解：作為傳統(tǒng)的AVER，不僅沒(méi)有預(yù)判APT的產(chǎn)生，對(duì)于木馬的認(rèn)識(shí)也存在諸多錯(cuò)誤，誤判必將導(dǎo)致錯(cuò)誤的導(dǎo)向和行動(dòng)。接下來(lái)列舉我們?cè)谀抉R時(shí)代做出的錯(cuò)誤的技術(shù)決策，或許能給我們今后有效應(yīng)對(duì)APT時(shí)代提供有價(jià)值的參考。

蜜罐還是終端

惡意代碼的最佳捕獲方式是什么?在2006年報(bào)告中，我們介紹了捕風(fēng)計(jì)劃，即基于低成本ARM架構(gòu)做成仿真蜜罐(Honeypot)或蜜池(Honeypool)。但事實(shí)證明，最佳的捕獲點(diǎn)就是用戶終端本身，終端覆蓋能力越強(qiáng)，捕獲能力越強(qiáng)。但傳統(tǒng)反病毒更看重更具有可控性的主動(dòng)捕獲方式，因此我們選擇了“向左轉(zhuǎn)”，部署了大量這樣的蜜罐節(jié)點(diǎn)，但效果并不理想。

更敏感的啟發(fā)式還是云

在2006年報(bào)告中，我們還提出如何應(yīng)對(duì)木馬爆炸式增長(zhǎng)的思路，即不斷提高啟發(fā)式的敏感性，提交加權(quán)值非常低的文件，以采集更多樣本。我們自己也清楚，基于可執(zhí)行對(duì)象無(wú)條件上報(bào)的思路可能是更有效的，但在當(dāng)時(shí)的情況下，我們依然對(duì)帶寬和計(jì)算成本有比較大的焦慮，同時(shí)對(duì)這種無(wú)條件提交的方法，有很強(qiáng)烈的隱私質(zhì)疑。所以，最終還是采取了提升未知檢測(cè)能力和敏感性的方法。

還原還是爬蟲(chóng)

在2006年報(bào)告中，我們同時(shí)提到基于旁路的惡意代碼檢測(cè)架構(gòu)，即把一個(gè)包檢測(cè)的體系結(jié)構(gòu)變成一個(gè)基于流還原的體系結(jié)構(gòu)，在流還原的體系結(jié)構(gòu)上串接一個(gè)異步引擎，來(lái)過(guò)濾掉多余的文件，實(shí)現(xiàn)上報(bào)。實(shí)際上，從2005年起，已有大量團(tuán)隊(duì)陸續(xù)投入到基于網(wǎng)頁(yè)和二進(jìn)制文件爬蟲(chóng)的研究中，而我們當(dāng)時(shí)盡管在兩方面都做了工作，但在還原捕獲和檢測(cè)方面無(wú)疑投入更多。

以上所述的每一個(gè)時(shí)刻，我們都選擇了“向左轉(zhuǎn)”，但實(shí)際上正確的道路卻在右邊。事實(shí)上，木馬這種爆炸式增長(zhǎng)趨勢(shì)得到了有效的對(duì)抗，而正是基于海量終端的無(wú)條件上報(bào)所構(gòu)筑出的文件鑒定體系使這種對(duì)抗成為可能。這種海量終端云鑒定的能力，取代了傳統(tǒng)的分析流水線，成為當(dāng)前反病毒技術(shù)新的核心支撐。傳統(tǒng)的基于高質(zhì)量的特征碼，包括高質(zhì)量啟發(fā)式檢測(cè)規(guī)則的引擎，如果沒(méi)有這種技術(shù)的輔助支撐，無(wú)一不會(huì)顯得落伍。

同時(shí)，可以說(shuō)從傳統(tǒng)的磁盤(pán)時(shí)代，從8086 Debug為起點(diǎn)的成長(zhǎng)過(guò)程中，AV業(yè)界的資源一直相對(duì)匱乏，并存在諸多局限性。我們也看到傳統(tǒng)反病毒工程界的一些原則，確實(shí)迫使我們會(huì)選擇一些高成本、低效果的方案，如基于蜜罐的捕獲體系和基于旁路的捕獲體系，都是我們想要搭建不對(duì)用戶和網(wǎng)站產(chǎn)生干擾的環(huán)境的體現(xiàn)。當(dāng)我們認(rèn)識(shí)到“貧瘠的資源局限想象力;狹義的道德感局限策略;傳統(tǒng)的慣性局限方法”的時(shí)候，我們?nèi)绾谓⑿碌姆治龇椒▉?lái)有效應(yīng)對(duì)當(dāng)前的威脅，并避免下一個(gè)誤判呢?

思索.2012～201x——信息安全沒(méi)有崩盤(pán)的原因，是因?yàn)閼?yīng)用跑得更快;應(yīng)用跑的令人心驚的原因，是應(yīng)用忘記了帶上安全伴跑。向前走并沒(méi)有錯(cuò)，我們只是沒(méi)有繞過(guò)路上的石頭!但我們不能因?yàn)闀?huì)絆到石頭拒絕向前!

2000～2012的演化原因

統(tǒng)計(jì)時(shí)間WormVirusTrojanHackToolSpywareRiskWare

2000/10/2451221,0063,066260370

2006/11/108,10927,76084,8114,9684,89988

2012/11/27354,04929,9407,262,094217,502214,57025,800

表 1 ：2000、2006和2012的三個(gè)統(tǒng)計(jì)節(jié)點(diǎn)的惡意代碼分類統(tǒng)計(jì)數(shù)據(jù)

如果對(duì)前文圖表所使用的2000、2006和2012的三個(gè)統(tǒng)計(jì)節(jié)點(diǎn)的數(shù)據(jù)進(jìn)一步跟蹤的話，我們可以做出更多的分析和解讀。

蠕蟲(chóng)的數(shù)量增長(zhǎng)其實(shí)也很快。從2000年的500多種，到2006年的8000多種，再到2012年11月的35萬(wàn)余種。這個(gè)數(shù)字增長(zhǎng)雖然顯著，但卻被木馬數(shù)量的劇增所掩蓋。蠕蟲(chóng)的膨脹的勢(shì)頭弱于木馬，明顯與包括Windows系統(tǒng)的安全性提升，漏洞利用的定向性而導(dǎo)致的溢出工具和載荷分離等因素有關(guān)。

而對(duì)HackTool(黑客工具)和Spyware(廣告件和色情件)來(lái)說(shuō)，其在2006年和2012年的規(guī)模竟然都十分接近，從某種意義上來(lái)說(shuō)，它們既有惡意代碼的基因，但也是正常應(yīng)用的近親，它們的發(fā)展速度也正反映了應(yīng)用成長(zhǎng)的速度。由此我們不禁在想，由于木馬構(gòu)造的批量化、以及投放端變換(Poly by Server Side)的趨勢(shì)，從HASH統(tǒng)計(jì)上看，黑白名單的規(guī)?？赡艹尸F(xiàn)出一種接近趨勢(shì)，這會(huì)很大程度上重新喚起人們對(duì)白名單方法的興趣。

圖 3：惡意代碼的演進(jìn)

而有趣的是，病毒的數(shù)量至今沒(méi)有突破3萬(wàn)種。特別是2006年之后，與其他惡意代碼類型相比，增量非常少。很多研究者和愛(ài)好者將此都簡(jiǎn)單的概括為：因?yàn)椴《靖腥拘枰帉?xiě)者的水平更高，而蠕蟲(chóng)、木馬是一個(gè)獨(dú)立文件，因此編寫(xiě)起來(lái)更容易。正是因此我們?cè)?jīng)認(rèn)為病毒到木馬是一種技術(shù)退化，但如果我們跳出唯技術(shù)觀來(lái)看，就會(huì)得出一種相反的結(jié)論：感染的方法是把一部分代碼注入到其他程序里，其功能空間受到了宿主情況的限制，這種方法局限了攻擊者的發(fā)揮空間和想象力，因此被淘汰。操作系統(tǒng)的高度復(fù)雜已經(jīng)為獨(dú)立惡意代碼提供了很好的掩蓋，不再需要用片段代碼注入到宿主進(jìn)行攻擊為掩護(hù)。因此我們認(rèn)為：病毒到蠕蟲(chóng)、木馬的過(guò)程，不是一個(gè)技術(shù)退化的過(guò)程，而是代碼片段能力演進(jìn)為獨(dú)立文件功能的能力，這是一種威脅進(jìn)化。而后又從單一的文件載荷，變成包括多文件、驅(qū)動(dòng)和其他內(nèi)核技術(shù)、Rootkit等隱藏技術(shù)在內(nèi)的復(fù)雜的節(jié)點(diǎn)環(huán)境場(chǎng)景;同時(shí)，其網(wǎng)絡(luò)行為也從單點(diǎn)的竊密回傳和一對(duì)一的C/S控制等，演化為多層控制、甚至無(wú)中心P2P 化的Botnet體制。由此看來(lái)，APT所需要的所有技術(shù)手段和單點(diǎn)思想在蠕蟲(chóng)、木馬時(shí)代均已具備，各種攻擊方法也均已成熟。在從最早的幾百個(gè)字節(jié)的感染式病毒，發(fā)展到今天的APT攻擊的整個(gè)過(guò)程中，安全事件的復(fù)雜度在不斷提升。傳統(tǒng)信息安全引入復(fù)雜巨系統(tǒng)概念，主要是從防御方信息體系的復(fù)雜性和規(guī)模而言，但當(dāng)時(shí)并未充分估計(jì)到單個(gè)安全事件本身可以形成高度復(fù)雜的體系，當(dāng)復(fù)雜巨系統(tǒng)遭遇高復(fù)雜度安全事件，我們的困難也就自然產(chǎn)生。

既然木馬時(shí)代到APT時(shí)代表現(xiàn)出很自然的水到渠成，那么我們?yōu)楹螞](méi)有預(yù)言APT的發(fā)生?我們忽略和關(guān)鍵因素是什么?

在木馬時(shí)代的地下經(jīng)濟(jì)驅(qū)動(dòng)中，各個(gè)國(guó)家均是地下經(jīng)濟(jì)體系和惡意代碼的受害者。其基礎(chǔ)規(guī)則也基于這一共同點(diǎn)搭建。而APT出現(xiàn)的最本質(zhì)原因是國(guó)家和政經(jīng)集團(tuán)作為“大玩家”直接介入到網(wǎng)絡(luò)攻防的游戲體系當(dāng)中，而攻擊的對(duì)象也變成了他國(guó)政府和其他對(duì)立的政經(jīng)體系。未能預(yù)見(jiàn)到威脅與被威脅者主體的突然變化以及這種變化的驅(qū)動(dòng)影響，才是我們沒(méi)有正確預(yù)判APT的出現(xiàn)的原因。

尋找新威脅要素

我曾對(duì)傳統(tǒng)惡意代碼威脅要素進(jìn)行了概括：第一，入口，惡意代碼如何獲得權(quán)限;第二，介質(zhì)，惡意代碼如何到達(dá)節(jié)點(diǎn);第三，格式，惡意代碼如何存儲(chǔ)。那么新APT威脅要素是什么呢?APT不是一個(gè)簡(jiǎn)單的惡意代碼，而是一個(gè)體系，對(duì)于這個(gè)體系，我們需要思考什么呢?APT之后還會(huì)有新的安全威脅形式，那么有沒(méi)有一個(gè)更宏觀的視野去分析?

關(guān)注新的關(guān)鍵詞

第一，生態(tài)。

大至整個(gè)社會(huì)安全保障體系，小到主機(jī)環(huán)境，都是在遏制惡意代碼的舊形態(tài)發(fā)展的。隨著主流操作系統(tǒng)安全性的提升，地址隨機(jī)化，UAC機(jī)制等整套的執(zhí)行保護(hù)體系使這種遠(yuǎn)程溢出和U盤(pán)感染變得越來(lái)越困難，主動(dòng)傳播也變得越來(lái)越困難， URL欺詐等逐步成為主流，所以我們要關(guān)注整個(gè)產(chǎn)業(yè)鏈的生態(tài)和基礎(chǔ)發(fā)展。

第二，動(dòng)機(jī)和動(dòng)力。

在感染式病毒和早期蠕蟲(chóng)活躍的時(shí)期，很多人是為了出名而編寫(xiě)病毒和蠕蟲(chóng)，而木馬編寫(xiě)多數(shù)是利益因素，因此前者往往是個(gè)體，后者則形成利益集團(tuán)。所以在DOS時(shí)代，最龐大的感染式惡意代碼家族也只有549種，而木馬時(shí)代，數(shù)量最多的木馬家族“灰鴿子”變種數(shù)超過(guò)了27萬(wàn)種。木馬之所以如此之多，是因?yàn)樗鼈冊(cè)诘叵陆?jīng)濟(jì)體系的驅(qū)動(dòng)下，找到了自身的盈利模式，形成了規(guī)模能力。

第三，資源和成本。

我們要充分考慮到編寫(xiě)惡意代碼的成本和攻防雙方的成本及需要的資源體系。正是國(guó)家和政治集團(tuán)這種強(qiáng)烈的“獲利”動(dòng)機(jī)，巨大的影響了生態(tài)的能力和無(wú)限制的資源可以承擔(dān)這種巨大的成本，才催生了APT這種集大成者的攻擊形式。

有意思的對(duì)比

2001年，我們對(duì)紅色代碼發(fā)布了僅有一頁(yè)的BBS預(yù)警;2003年，我們對(duì)口令猜測(cè)類蠕蟲(chóng)做了一個(gè)13頁(yè)的關(guān)聯(lián)分析報(bào)告;而今年，我們對(duì)Flame的分析報(bào)告卻長(zhǎng)達(dá)92頁(yè)，卻感覺(jué)只分析了冰山一角。有趣的是，我們卻從來(lái)沒(méi)有針對(duì)任何一個(gè)木馬發(fā)布長(zhǎng)篇的系統(tǒng)的報(bào)告，這說(shuō)明對(duì)于不同形態(tài)安全事件確實(shí)存在不同的應(yīng)對(duì)需求。

AVER工作方法的變遷

在早期感染式病毒為主導(dǎo)的時(shí)代，我們面對(duì)的是對(duì)文件完整性的焦慮，因此，我們要進(jìn)行人工分析，編寫(xiě)清除病毒的參數(shù)、腳本或模塊，把文件恢復(fù)到感染前的狀態(tài);而對(duì)于蠕蟲(chóng)，我們面對(duì)的是及時(shí)性焦慮，類似Slammer在不到十分鐘的時(shí)間就感染了全球百萬(wàn)臺(tái)SQL Server服務(wù)器的等情況，讓產(chǎn)業(yè)界更關(guān)注發(fā)現(xiàn)并遏制蠕蟲(chóng)的及時(shí)性;而對(duì)于木馬，我們主要擔(dān)心其數(shù)量級(jí)數(shù)的膨脹，是一種數(shù)量級(jí)和處理能力焦慮，我們需要增強(qiáng)海量計(jì)算資源的自動(dòng)分析和終端上的主動(dòng)防御能力與之抗衡;而對(duì)于APT，我們卻是難以預(yù)見(jiàn)和防御的，我們對(duì)APT的恐懼是對(duì)其后果的焦慮，那么我們應(yīng)如何有效應(yīng)對(duì)APT?我們所能做的是如何更快速的感知和深度分析APT，以及對(duì)APT的回溯評(píng)估。

不同的時(shí)代，由于威脅對(duì)象和方法的不同，引發(fā)了需求和焦慮感的不同，進(jìn)而導(dǎo)致我們工作方法也隨之產(chǎn)生相應(yīng)地變化。

尾聲比爾.蓋茨說(shuō)：“五年，這就是我們向前能看到最遠(yuǎn)的時(shí)間。”

當(dāng)想到產(chǎn)業(yè)巨子都有如此的時(shí)間危機(jī)，我更不敢判斷我能向前看多遠(yuǎn)。只知道一定比蓋茨近得多。我們難以看遠(yuǎn)未來(lái)，卻能更多的反思過(guò)去，所以我今天的每一句話，都比六年前謹(jǐn)慎的多，因?yàn)槲蚁Ｍ旰?，能有勇氣回顧今天的話?/p>

注：本文刊發(fā)于2013年《中國(guó)信息安全》1月刊，是筆者在第一屆全國(guó)網(wǎng)絡(luò)與信息安全防護(hù)峰會(huì)(XDEF，武漢大學(xué),2012)上的演講整理稿，刊發(fā)時(shí)有刪節(jié)。

新聞標(biāo)題：木馬雪崩到APT的關(guān)聯(lián)與必然
文章鏈接：http://fisionsoft.com.cn/article/dpjoihg.html

新聞中心

其他資訊