360发布最新网络安全报告:高级持续性网攻威胁我国多行业
【环球时报报道 记者 马俊】在过去的2023年,全球面临来自网络空间的威胁变得更加严峻,其中组织性复杂、计划性高效和针对性明确的攻击活动更趋常态化,高级持续性威胁(APT)攻击成为网络空间社会影响最广、防御难度最高、关联地缘博弈最紧密的突出风险源,直接影响到现实国家安全。360数字安全集团1月30日发布《2023年全球高级持续性威胁研究报告》(以下简称“报告”)。《环球时报》记者发现,该报告显示中国16个行业深受APT攻击影响,教育科研领域受影响最大。360数字安全集团安全专家在接受《环球时报》采访时透露,这种趋势与APT组织背后的政治势力对我国高新技术发展的制约和打压密切相关。
APT组织保持高活跃度
报告显示,截至2023年12月,全球APT组织攻击活动保持高活跃度,全球网络安全厂商以及机构公开发布APT报告累计731篇,报告中涉及APT组织135个,其中属于首次披露的达到46个。截至目前,360已累计发现54个境外APT组织,并于2023年最新捕获到APT-C-57(沃尔宁)与APT-C-68(寄生虫)两个境外组织。
360安全专家在接受《环球时报》记者采访时表示,APT组织不是普通的个人黑客,而是以国家级黑客组织为代表的高级别专业力量,其有组织、有背景的网络威胁行为通常是得到国家支持、甚至是有国家或政治力量直接参与。APT组织凭借先进的网络武器技术和复杂的攻击手法,针对全球目标展开自动化、体系化和智能化的网络攻击,不仅对国家政府及要害部门进行持续监视与间谍活动,甚至对于一国政治、经济、社会、国防军事等方面的威胁也在不断加深。一旦APT组织对整个国家的基础单位进行网络攻击,将可能导致交通、银行、航空、水电系统瘫痪,对国家政治稳定、经济发展造成严重影响。
据360安全云监测,我国是APT攻击活动主要受害国之一。360全年监测到13个境外APT组织针对我国的APT攻击活动1200多起,相关APT组织主要归属北美、南亚、东南亚和东亚地区。值得注意的是,APT攻击手法持续更新升级,目标扩散,攻击深入,尤以美国发动的APT攻击最甚。来自美国的APT组织针对全球的网络攻击行为早已呈现出自动化、体系化和智能化的特征,攻击手法复杂,几乎可以覆盖全球所有互联网和物联网资产,攻击者为达到军事、政治侦察目的,可以随时随地控制他国网络,窃取关键数据。
我国教育科研领域受影响最大
2023年全球网络安全机构披露的APT攻击活动中,政府、国防军工、信息技术、教育、金融等为主要受攻击影响行业。据360安全云监测,我国受影响重点目标涉及16个行业领域,受影响行业前五分别为:教育、政府、科研、国防军工、交通运输。
该报告显示,我国受APT攻击影响单位中,教育科研行业占比超过50%,这里也逐渐成为我国与境外APT组织攻防对抗的核心战场。360安全云通过分析发现,部分针对教育科研领域的攻击活动中,攻击者出现利用已攻陷的资源,如使用窃取的文档数据、联系人信息等,实施对目标的进一步精准攻击,以扩大攻击成果。
从地域分布看,我国受APT攻击影响的单位,集中分布于东南沿海和政治经济中心区域。这与我国基础设施行业、教育科研重点资源、国防军工核心单位地域分布情况存在相关性。
按职能看,政府机构历年来一直是APT攻击的核心目标领域,政府机构下的海事机构、驻外机构、金融监管以及交通管理等是受APT攻击影响的重点。随着我国国际影响力的不断提升,外事和驻外机构所掌握的政治、经济贸易来往数据,以及我国对外政策方针,直接关系到各国与中国的核心利益。这需要我国外事相关机构引起足够重视,以有效防范各类针对性的渗透攻击。
APT攻击活跃有特殊背景
该报告还显示,数字技术的发展也助推了网络攻击的深化泛化,全球APT攻击活动进入新一轮活跃期。2023年APT组织在网络攻击活动中使用的在野0day漏洞共计56个,涉及11个厂商的16个产品,总体数量超过2022年,处于近几年0day漏洞利用数量的高位。从2023年披露的APT攻击利用的0day漏洞分布看,漏洞集中分布在影响面广的浏览器软件和操作系统,其中针对移动端系统0day漏洞利用数量增长明显。
尤其值得注意的是,伴随美国对中国高新科技领域的封锁政策变本加厉,2023年针对我国的芯片、5G等高科技领域的攻击显著增多,涉及多个方向APT组织,其中以美国方向APT-C-39(CIA)组织最为典型。360在对该组织的持续跟踪中捕获到该组织针对我国芯片、5G通信等领域目标的攻击活动。360安全专家对此表示,在人工智能、新能源电池、半导体、微电子、量子信息技术等关键核心技术领域,全球各国纷纷加快了产业布局和产能争夺。而多个APT组织针对我国芯片、5G等高科技领域的攻击渗透,实际是配合其背后政治势力,在网络空间实施对我国高新技术发展的制约和打压。这警醒我们在应对APT攻击威胁时,应该同时关注攻击者背后的政治势力,认清攻击威胁目的和全貌。
同时地理、地质测绘机构掌握的测绘数据也属于高价值情报和重要战略性数据资源,2023年APT组织对我国地理、地质测绘领域攻击活动同样明显增加。由此可见,APT组织在网络空间的攻击和窃密,逐渐成为隐藏在其背后政治势力获取竞争优势,刺探各种情报,实现政治乃至战略目的常规手段。例如2023年7月,国家计算机病毒应急处理中心和360集团联合处置了美国组织对武汉市地震监测中心的网络渗透攻击。地震监测中心的地震烈度数据与国家安全息息相关,通过地震烈度数据可以还原出我交通、能源、军事等重要领域特定区域的三维地貌图,如果数据泄露将严重威胁我国军事安全和国家安全。
如何应对新一轮APT攻击
360集团安全专家认为,2023年对我国展开攻击活动的APT组织,攻击目标大都涉及我国教育和科研领域,尤其以西北工业大学被APT-C-40(NSA)组织网络攻击事件为代表。这类攻击活动以此作为突破口,对我国国防军工科技创新体系进行渗透和窃密。
面对境外APT组织的威胁,如何高效率构建实战化安全防御体系,快速获得安全能力成为关键。作为应对思路,该专家建议,首先需要利用大数据建立全网安全事件档案,捕捉网络攻击蛛丝马迹,帮助用户对威胁攻击有所防备。
其次,需要提前布防,具备快速、及时发现安全线索并同时支持安全威胁就地处置的能力。这需要应用人工智能技术提升自动化和智能化水平,对海量安全事件实现自动化分析、筛选和关联,快速发现攻击线索并采取自动响应,提升安全防御效率。
此外,要应对APT组织的攻击,需要由漏洞挖掘、威胁检测、情报分析等各相关专业组成的多层级专家团队,进行7×24小时不间断的持续发现、分析、响应、处置,同时能快速发现异常、阻止安全事件发生以及在事件发生后迅速响应、及时止损。
该专家还表示,由于网络安全事件的处置对于时效性有着极高要求。在发生重大网络安全事件时,相关单位也应该主动积极上报,以便政府、安全厂商、组织机构等多方协同参与,形成强大合力,尽早发现威胁,尽快处置威胁,最大限度降低网络攻击造成的影响和危害。