行業(yè)動(dòng)態(tài)

聊聊APT的溯源分析

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-12-25    瀏覽次數(shù):
 

信息來源:Freebuf


閱讀這篇文章之前,如果你對(duì)APT一無所知,可以先了解一下APT三個(gè)字的英文,A-Advanced,P-Persistent ,T-Threat。

SolarWinds APT事件

前段時(shí)間火眼發(fā)現(xiàn)了一個(gè)基于供應(yīng)鏈攻擊的黑客組織攻擊事件,并將黑客組織命名為UNC2452/Dark Halo,看到這個(gè)名字,就想起了Dark Hotel,國(guó)內(nèi)外各安全廠商也都在第一時(shí)間拿到了APT攻擊的后門樣本,并對(duì)樣本進(jìn)行詳細(xì)分析,之后又有國(guó)內(nèi)外的一些廠商跟蹤分析了攻擊樣本中使用的DGA算法,并通過解密DGA算法,找到了一些受害者客戶的數(shù)據(jù),至于溯源到的這些客戶里有沒有誤報(bào)的,已經(jīng)不重要了,反正是溯源到了,接著又有越來越多的國(guó)內(nèi)外安全廠商發(fā)布了自己的相關(guān)報(bào)告,報(bào)告基本內(nèi)容就是大同小異,有些廠商加了自己的一些猜測(cè)推理啥的,包含微軟也發(fā)報(bào)了報(bào)告,也對(duì)后門進(jìn)行了詳細(xì)分析以及DGA部分,同時(shí)還推廣了一波自己的產(chǎn)品攔截技術(shù)等,我研究了十幾個(gè)國(guó)內(nèi)外不同的安全廠商針對(duì)此事發(fā)布的報(bào)告,能分析的基本都分析了,其實(shí)這個(gè)事能做的就只能到這里了,作為一個(gè)專業(yè)的安全廠商能在第一時(shí)間內(nèi)拿到攻擊的樣本,并做出快速響應(yīng),提供相應(yīng)的檢測(cè)清除以及防御解決方案就可以了,如果真的需要進(jìn)行下一步的溯源分析,也只能聯(lián)系SolarWinds公司配合,進(jìn)行內(nèi)部的調(diào)查取證分析了,但如果SolarWinds不配合,或者SolarWinds不找你做溯源取證分析,各大安全廠商基本能做的事就是這些了,至于攻擊者是如何攻擊SolarWinds恐怖也只有曝光的黑客組織Dark Halo或其他攻擊SolarWinds的黑客組織才最清楚了,因?yàn)榇蟛糠职踩珡S商是沒辦法去找Solar Winds進(jìn)行溯源取證分析的,所以溯源分析也就到此為止了,至于其他的一些什么分析就是純猜測(cè)了,沒啥意義,隨便怎么猜測(cè)都可以,而且就算SolarWinds找專業(yè)的安全廠商進(jìn)行溯源分析,最后的報(bào)告也不會(huì)對(duì)外發(fā)布,黑客的攻擊手法的相關(guān)細(xì)節(jié)也不會(huì)曝光,有些不懂的人還會(huì)說,難倒全球的安全廠商能做的就是這些?是怎么攻擊的,我還是不知道呀,其實(shí)確實(shí)也只能做這些,或者說能報(bào)道的也只能是這些了,更多的溯源分析大部分安全廠商也沒有辦法去做,因?yàn)镾olarWinds沒有找他們溯源,其次就算找到了完整的攻擊鏈,你也看不到報(bào)告,就說到這里了,懂的人自然就懂了。

所有對(duì)外發(fā)布的APT報(bào)告最大的價(jià)值就是品牌宣傳,說白了就是"秀肌肉",告訴客戶我有能力幫你找到并處理APT攻擊事件,同時(shí)我有APT數(shù)據(jù),我還有產(chǎn)品能檢測(cè)和防御,我能幫助你發(fā)現(xiàn)企業(yè)中可能存在的APT攻擊事件,因?yàn)楝F(xiàn)在全球還有多少政府或企事業(yè)單位已經(jīng)被黑客攻擊了,無時(shí)無刻不在監(jiān)控和盜取政企的重要數(shù)據(jù),其實(shí)是未知的,這也是全球的安全廠商做安全的意義,事實(shí)上真實(shí)的客戶APT報(bào)告是不會(huì)對(duì)外發(fā)布的,都是定向發(fā)給客戶的,沒有哪個(gè)安全廠商會(huì)把自己重要客戶的APT事件報(bào)告發(fā)到外面,這樣做沒有任何意義,給客戶保密是安全從業(yè)人員最基本的素養(yǎng)。

APT攻擊解讀

經(jīng)常在一些安全大會(huì)上聽到一些人講APT攻擊,以及APT溯源分析啥的,其實(shí)一些人還沒有搞清楚APT攻擊是啥意思,就在談?wù)揂PT溯源分析,啥是APT都不知道?為什么叫APT?APT攻擊的目的是什么?

啥是APT:APT就是高級(jí)可持續(xù)性威脅攻擊

我們要討論某個(gè)攻擊行為的時(shí)候,為什么稱這類攻擊為APT,其它攻擊不是APT呢:為什么火眼發(fā)現(xiàn)的這個(gè)東西就是APT攻擊事件,并不是因?yàn)樗褂昧斯?yīng)鏈攻擊技術(shù),供應(yīng)鏈攻擊僅僅是APT攻擊使用的一種高級(jí)技術(shù),所以供應(yīng)鏈攻擊僅僅是代表了A,僅只有A,是不能叫APT,完整的APT攻擊一定是:A-高級(jí),使用了一些高級(jí)的攻擊手法,比方供應(yīng)鏈攻擊手法,利用了一些系統(tǒng)或應(yīng)用的0day漏洞,或者使用了很多以前未見過的各種組合攻擊方式等,然后這些僅僅是A,還需要P。

P-持續(xù)性,在黑客組織攻擊成功之后,一定會(huì)在受害者機(jī)器上駐留植入后門,以達(dá)到長(zhǎng)期監(jiān)視受害者,盜取重要數(shù)據(jù)的目的,P就是APT攻擊最后釋放的高端遠(yuǎn)控后門,也稱為APT特馬,一個(gè)高級(jí)特馬的免殺效果在一定程度上決定了一個(gè)APT組織技術(shù)的高低。

只有滿足了這兩點(diǎn)才能叫APT,高級(jí)可持續(xù)性攻擊,很多人其實(shí)并不理解什么是APT,也沒搞清楚APT的本質(zhì)是啥,也不懂為啥叫APT,還有APT的重點(diǎn)是什么?

APT的目的:黑客組織使用一些高級(jí)可持續(xù)的攻擊方法和手段,通過長(zhǎng)期監(jiān)視目標(biāo),獲得目標(biāo)的重要數(shù)據(jù),持續(xù)監(jiān)控獲取數(shù)據(jù)是APT的關(guān)鍵,具體強(qiáng)烈的政治和經(jīng)濟(jì)目的。

以后別人再跟你談APT的時(shí)候,你就先問他啥是APT,怎么定義這個(gè)事件是APT的,再跟他聊后面的溯源分析,如果連APT都沒有搞清楚,就沒有必要聊下去了。

我在面試的過程中會(huì)遇到不少人在自己的簡(jiǎn)歷中寫APT啥的,也遇到不少人聊APT,其實(shí)很多人連APT是啥都沒有搞清楚,有些人說APT:使用一些0day漏洞攻擊就說是APT,發(fā)個(gè)釣魚郵件,使用魚叉攻擊,水坑攻擊手法就說是APT,其實(shí)都是不準(zhǔn)確的,這些只能叫APT攻擊的一種手法,使用了這種攻擊手法的安全事件,并不一定就是APT攻擊事件,APT攻擊事件的核心一定要找到P,沒有P(APT特馬),再高級(jí)的攻擊手法,也只能叫AT事件,這次攻擊事件僅僅是利用了一些高級(jí)手法的威脅事件而已,并不能稱為APT。

APT攻擊思考

我常常說我們做安全就跟當(dāng)警察是一樣的,做安全就是為了保障我們的客戶安全,當(dāng)警察是為了保障人民群眾的安全,我們?cè)诳蛻衄F(xiàn)場(chǎng)溯源分析的過程,就和警察在刑事犯罪現(xiàn)場(chǎng)推理案件的過程是一樣的,警察破案,一切的根本是基于證據(jù)的,沒有證據(jù),如果一切僅僅都是猜想,猜想是定不了罪的,同時(shí)當(dāng)企業(yè)被黑客攻擊之后,我們需要從客戶的機(jī)器上進(jìn)行溯源分析,獲取相關(guān)的證據(jù)和數(shù)據(jù),客戶的機(jī)器其實(shí)就是“犯罪現(xiàn)場(chǎng)”,存留在機(jī)器上的樣本就相當(dāng)于受害者的“尸體”,我是很喜歡看刑偵類電視劇的,比方《法證先鋒》《刑事偵緝檔案》《插翅難逃》《神探狄仁杰》《重案六組》《鑒證實(shí)錄》等,基本都看了好幾遍,相信很多朋友也看過,大家可以發(fā)現(xiàn)要想破案的關(guān)鍵因素之一首先就是要保留作案現(xiàn)場(chǎng),如果作案現(xiàn)場(chǎng)被破壞會(huì)加大破案的難度,同時(shí)最后大家會(huì)發(fā)現(xiàn),警察一定要找到受害者的“尸體”,不管是不是一具完整的“尸體”,或者僅僅是“尸體”的一些殘留物質(zhì),找到受害者“尸體”是定罪的關(guān)鍵因素之一,有些極端的犯罪份子會(huì)“毀尸滅跡”,警察會(huì)通過各種技術(shù)手段找到“尸體”殘駭,這種“毀尸滅跡”類型重大刑事案件一般是比較難偵破的,往往需要去收集和尋找更多的證據(jù),有時(shí)候甚至還需要和犯罪份子打心理戰(zhàn),通過心理戰(zhàn)突破他的防線,從而破案,但是不管是哪一個(gè)案件,一切都是拿證據(jù)和事實(shí)來定罪的,純憑猜測(cè)是沒有辦法定罪的。

當(dāng)我們?cè)谔幚砜蛻魬?yīng)急響應(yīng)的時(shí)候,存留在客戶機(jī)器上的樣本就是我們要找的“尸體”,只有先找到“尸體”才能定義它為一個(gè)重大的刑事案件,如果連“尸體”都沒有找到,是沒有辦法定義的,從“尸體”中去尋找證據(jù)和答案是最有效也是最直接的方法,首先警察會(huì)將“尸體”移交給專業(yè)的法醫(yī)人員進(jìn)行檢測(cè)和分析,判斷死者的大體死亡日期(樣本的感染時(shí)間),死者的年紀(jì)(樣本的編譯時(shí)間),死者此前是否有受到過侵犯和死者的死亡原因(樣本的靜態(tài)和動(dòng)態(tài)行為特征),從這些可以大致判斷犯罪份子大概的行兇時(shí)間(黑客攻擊時(shí)間),行兇過程以及死者的死亡原因。

APT溯源的關(guān)鍵問題是要有客戶的犯罪現(xiàn)場(chǎng),如果沒有犯罪現(xiàn)場(chǎng),一般的安全廠商能做的事就是通過從犯罪現(xiàn)場(chǎng)找到的受害者的“尸體”(樣本)進(jìn)行溯源分析了,所以如果一個(gè)安全廠商又沒有犯罪現(xiàn)場(chǎng),又沒有拿到受害者的“尸體”(樣本),就在那里大談溯源分析,APT溯源分析,基本就是純扯淡,這種報(bào)告完全不用看,可以看國(guó)內(nèi)外各大安全廠商發(fā)布的APT報(bào)告,“尸體”(樣本)分析是必不可少的一部分,不管有沒有客戶現(xiàn)場(chǎng),如果連簡(jiǎn)單的“尸體”(樣本)分析都沒有,就跟能法醫(yī)的報(bào)告都沒有拿到,就幾個(gè)警察在那里推判猜測(cè),是沒有任何意義的,一切的犯罪都是要基于證據(jù)的,沒有證據(jù),推論和猜測(cè)就毫無意義了。

APT攻擊溯源

APT攻擊應(yīng)該如何溯源?一定是有什么異常,先從異常入手,不管是多么高端的APT組織一定會(huì)在機(jī)器上駐留信息,因?yàn)檫@是APT的核心之一,沒有P,不能算是APT攻擊,僅僅是AT攻擊或普通的T攻擊,APT攻擊一定是有P的,那我們最好的方式就是從P入手,從而溯源推理出整個(gè)攻擊事件。

P就是“尸體”(樣本),所有的APT攻擊的最后都會(huì)保留一個(gè)“尸體”(樣本),這個(gè)“尸體”(樣本)就是P,不同水平的APT組織使用的P的技術(shù)不一樣,判斷是一個(gè)APT組織技術(shù)的高低標(biāo)準(zhǔn)之一就是P能存留多長(zhǎng)時(shí)間不被安全廠商發(fā)現(xiàn),如果一個(gè)APT組織的P在十年之后都沒有被全球的各安全廠商發(fā)現(xiàn),那這個(gè)APT組織一定是最厲害的APT組織之一,一般的P的存活時(shí)間不到一天,厲害的一周,更厲害的幾周,幾個(gè)月,頂級(jí)的可以存留幾年甚至更長(zhǎng)時(shí)間不被發(fā)現(xiàn)。

當(dāng)然判斷一個(gè)安全廠商的安全能力的標(biāo)準(zhǔn)也就是發(fā)現(xiàn)P的能力了,不管你用什么方法,管你什么AI,大數(shù)據(jù),算法等等,只要你能第一時(shí)間發(fā)現(xiàn)客戶機(jī)器上的P,分析出黑客做了什么事,同時(shí)能追蹤到黑客的攻擊手法以及攻擊流程,這就是代表你的安全能力的。

當(dāng)我們拿到P之后,如果想溯源,能做的第一件事情就是分析研究P,這就需要一名經(jīng)驗(yàn)豐富優(yōu)秀的法醫(yī)了,一個(gè)優(yōu)秀的法醫(yī)并不是他的解剖技術(shù)有多好,而且他的經(jīng)驗(yàn)豐富,分析解剖的“尸體”很多,見過的“尸體”更多,一般的“尸體”一個(gè)經(jīng)驗(yàn)豐富的法醫(yī)在很短的時(shí)間內(nèi)就能大概判斷出“尸體”的特征,這和我們?cè)诜治鰳颖镜臅r(shí)候是一樣的,當(dāng)你對(duì)各種不同類型的樣本都很熟悉之后,分析過的樣本越來越多之后,你就會(huì)很快的定位到樣本的關(guān)鍵信息。同樣一名優(yōu)秀的警察也是他的Q法有多準(zhǔn),而且他的辦案經(jīng)驗(yàn)比較豐富,能快速的推理出案件的關(guān)鍵信息等。

其實(shí)P(樣本)就是APT的核心,沒什么好辯解的,針對(duì)樣本的分析就是APT分析的關(guān)鍵,首先需要從樣本中找到更多有價(jià)值的東西,如果一次APT攻擊事件連樣本都沒有找到,就純猜測(cè)沒啥意義,APT報(bào)告的核心就是對(duì)樣本的分析,如果一篇報(bào)告連基本的樣本都沒有分析清楚,就大談APT攻擊,攻擊手法什么的,就是純扯,就像這次如果火眼不公布樣本,其他廠商能分析啥?推測(cè)啥?其實(shí)啥也不會(huì)知道?APT攻擊過程中黑客能留下的最真在最有價(jià)值的東西就是樣本,樣本也是你能與黑客組織”對(duì)話“最直接的橋梁,所有的一切結(jié)論都是基于樣本分析得出來,然后再通過獲取到更多的樣本數(shù)據(jù)推論出更多的結(jié)論,不然就是純猜測(cè),沒有任何事實(shí)依據(jù)可言,如果你覺得對(duì)已知或未知的APT事件的樣本逆向分析價(jià)值不大,只能說明一點(diǎn):你分析的樣本真的太少了,你見過的樣本太少了,你處理的安全攻擊事件太少,你的經(jīng)驗(yàn)不足而已,對(duì)安全的理解不夠深入。

APT溯源分析不是單靠數(shù)據(jù)就能解決的,更多的是需要經(jīng)驗(yàn)豐富的安全人員進(jìn)行定向的取證分析,首先需要有犯罪現(xiàn)場(chǎng)(客戶),如果沒有犯罪現(xiàn)場(chǎng)(客戶),就只能通過獲取到的APT事件的“尸體”(樣本)進(jìn)行技術(shù)分析取證,然后再通過自家的數(shù)據(jù)進(jìn)行跟蹤分析了,所以這就是為啥大部分安全廠商對(duì)外發(fā)布的APT事件都是以樣本分析為主的,有些順帶會(huì)寫一些應(yīng)急措施以及相關(guān)的可能受影響的客戶,真實(shí)的APT攻擊事件的客戶溯源以及提供給客戶的APT報(bào)告是一定不會(huì)公開分享的,因?yàn)槔锩鏁?huì)涉及到客戶的重要的數(shù)據(jù)以及客戶產(chǎn)品中重要的安全問題,這種報(bào)告都是定向輸出給客戶的,對(duì)外輸出的APT報(bào)告基本都是為了宣傳自家的安全廠商有這種安全分析能力以及數(shù)據(jù)能力,因?yàn)楫?dāng)真正有客戶找你進(jìn)行APT溯源分析的時(shí)候,才是真正展示一個(gè)廠商安全能力的時(shí)候,其它的時(shí)間都是要練兵,正所謂,養(yǎng)兵千日,用在一時(shí),平時(shí)沒事的時(shí)候,就是要多去分析樣本,研究漏洞原理,多去熟悉一些常用的黑客攻擊手法,見的多了,經(jīng)驗(yàn)自然就豐富了,如果連樣本都不去分析,常見的漏洞和攻擊手法都不知道有哪些,平時(shí)也沒有機(jī)會(huì)接觸一些APT攻擊事件,那如何鍛煉自己的APT溯源分析能力,如何能快速的定位問題,找到安全攻擊事件的關(guān)鍵信息,就相當(dāng)于一個(gè)法醫(yī),從來不解剖研究“尸體”,一個(gè)警察從來不去犯罪現(xiàn)場(chǎng)調(diào)查取證,就純靠意淫,或者看看別人的報(bào)告,就憑自己的想象斷案,基本就是扯淡,所以如果你要跟我討論APT溯源什么的,我首先會(huì)問你有沒有抓到APT事件的樣本(P),有沒有分析過事件中的樣本(P),從P中找到了什么有價(jià)值的信息沒有,或者有沒有發(fā)現(xiàn)可疑的日志信息(犯罪現(xiàn)場(chǎng)),如果連基本的樣本(P)都沒有拿到,也沒有去犯罪現(xiàn)場(chǎng)(日志信息)分析過,我覺得咱們暫時(shí)沒啥討論的必要,純意淫沒啥價(jià)值,浪費(fèi)時(shí)間和精力。

這里還說一點(diǎn),就是前面說的APT數(shù)據(jù),因?yàn)楝F(xiàn)在做安全的人喜歡說數(shù)據(jù)這個(gè)詞,其實(shí)一切都是數(shù)據(jù),代碼是數(shù)據(jù),樣本也是數(shù)據(jù),特征是數(shù)據(jù),行為也是數(shù)據(jù),網(wǎng)絡(luò)流量還是數(shù)據(jù),這一切皆為數(shù)據(jù),單純的說APT數(shù)據(jù)也是沒有啥意義的,一定要有具體的東西,比方APT 樣本二進(jìn)制代碼數(shù)據(jù),漏洞規(guī)則數(shù)據(jù),威脅情報(bào)IOC數(shù)據(jù),APT攻擊行為數(shù)據(jù)等等,安全廠商能做的事,就是基于現(xiàn)有的APT歷史數(shù)據(jù)和最新的APT事件攻擊樣本,建立APT數(shù)據(jù)庫,然后關(guān)聯(lián)更多的數(shù)據(jù),APT數(shù)據(jù)的積累其實(shí)也是一個(gè)平常練兵的過程,因?yàn)楫?dāng)你沒有客戶來找你的時(shí)候,或者你沒有受到APT攻擊的時(shí)候,通過收集和整理之前的一些APT事件的數(shù)據(jù),形成一個(gè)APT的知識(shí)數(shù)據(jù)庫,積累自己的辦案經(jīng)驗(yàn),也是一種方法,這些APT攻擊事件文檔其實(shí)就是警察辦案后的案卷存檔,通過整理這些案卷,進(jìn)行標(biāo)準(zhǔn)化的保存,方便進(jìn)行信息的檢索和關(guān)聯(lián),從而可以對(duì)案件的證破起到一定的作用,所以現(xiàn)在安全廠商都在進(jìn)行APT相關(guān)數(shù)據(jù)的運(yùn)營(yíng),APT數(shù)據(jù)的積累是需要一個(gè)長(zhǎng)期的過程的,但這種方式對(duì)一些關(guān)聯(lián)的APT組織是有很大的幫助的,但是對(duì)于一些新型的APT組織幫助不大,不過APT數(shù)據(jù)的收集和整理是必不可少的一部分,這就相當(dāng)于對(duì)全球刑事案件的檔案管理一樣,但僅僅依靠APT數(shù)據(jù)是沒辦法溯源分析最新的APT攻擊事件的,需要專業(yè)的經(jīng)驗(yàn)豐富的安全專家對(duì)客戶進(jìn)行溯源分析,調(diào)查取證。

APT溯源的過程就是一個(gè)警察破案的過程,警察怎么破案的,我們做安全的就怎么去做溯源分析,犯罪現(xiàn)場(chǎng)和受害者人“尸體”是所有重大刑事案件中兩個(gè)最關(guān)鍵的東西,一切的一切都是需要證據(jù)的,沒有證據(jù),利用什么數(shù)據(jù)來扯淡,一切靠猜想,是沒有任何意義的。

如果一個(gè)人跟你說基于AI技術(shù)、大數(shù)據(jù)技術(shù),還有其他啥技術(shù),就可以分析檢測(cè)未知APT攻擊,基本可以斷定這個(gè)人是不懂APT的,可能連APT是啥都不知道,任何高級(jí)安全威脅事件的溯源分析,都不能僅僅依靠產(chǎn)品或者數(shù)據(jù),實(shí)戰(zhàn)經(jīng)驗(yàn)豐富的安全從業(yè)人員是必不可少的,只有這些經(jīng)驗(yàn)豐富的安全人員才最了解黑客,更別說是一些高端未知APT攻擊了。

總結(jié)

未來網(wǎng)絡(luò)安全事件,一定是以定向攻擊為主的,同時(shí)APT攻擊手法也一定為成為未來安全攻擊的主流,通過APT攻擊獲取國(guó)家政企業(yè)重要的數(shù)據(jù),并長(zhǎng)期對(duì)國(guó)家政企業(yè)進(jìn)行監(jiān)控,達(dá)到黑客組織攻擊的目的。

好了,就寫到這里了吧,真正深入研究并理解安全的人,一看就明白了,看不懂的人,也沒辦法,就踏踏實(shí)實(shí)花時(shí)間多去研究安全,提升一下自己的安全能力和對(duì)安全的理解,再多經(jīng)歷一些事情,經(jīng)歷多了自然就明白了,說真的,雖然現(xiàn)在很多人做安全,但并不是每個(gè)做安全的人都懂安全,也并不是每個(gè)做APT研究的人都懂APT,一些人說使用什么產(chǎn)品就能檢測(cè)APT,利用什么算法就能檢測(cè)APT啥的,這些都是基于已有的APT數(shù)據(jù)進(jìn)行檢測(cè),真正的未知APT攻擊事件,基于現(xiàn)在這些已知的數(shù)據(jù)肯定是檢測(cè)不出來,不管你用什么算法,你有什么數(shù)據(jù),基本都沒用,真實(shí)的只有當(dāng)APT事件真實(shí)發(fā)生之后,有某些異常產(chǎn)生,然后再通過經(jīng)驗(yàn)豐富的安全研究人員基于這些異常所在的環(huán)境對(duì)異常進(jìn)行跟蹤溯源分析之后,確認(rèn)為APT攻擊事件,再快速應(yīng)響,最大限度的幫助客戶減少因?yàn)锳PT攻擊事件造成的重大損失,只有真正接觸過很多客戶真實(shí)APT攻擊案例,做過很多客戶重大安全應(yīng)急響應(yīng)溯源分析,并且經(jīng)驗(yàn)豐富的基礎(chǔ)安全研究人員才是發(fā)現(xiàn)APT攻擊事件的關(guān)鍵,這是一種非常強(qiáng)的安全分析研究能力,這種能力并不是一朝一夕能達(dá)到的,需要經(jīng)過長(zhǎng)時(shí)間的訓(xùn)練,那么針對(duì)以后可能發(fā)生的一些未知的APT攻擊事件,我們?nèi)绾文芸焖侔l(fā)現(xiàn),以及我們現(xiàn)在能做什么呢?其實(shí)很簡(jiǎn)單,就是不斷的積累安全分析與研究經(jīng)驗(yàn),以后當(dāng)別人跟你討論安全,或者跟你討論APT的時(shí)候,你首先要判斷的是這個(gè)人值不值得你花時(shí)間去跟他深度的探討一些問題,如果大家都不在一個(gè)層次,對(duì)安全的理解都不在一個(gè)層次,點(diǎn)到為止即可,安全的路還很長(zhǎng),不管未來時(shí)代怎么發(fā)展,不管平臺(tái)如何變化,框架如何更新,概念如何炒作,安全問題總是會(huì)一直存在,可能不同的時(shí)代表現(xiàn)形式不一樣吧了,安全是一個(gè)過程,并不是開發(fā)個(gè)什么新平臺(tái),推出什么新產(chǎn)品就完事了的,是需要長(zhǎng)期的運(yùn)營(yíng)的,而且隨著現(xiàn)在國(guó)際形勢(shì)的發(fā)展,未來這種定向有目的未知的黑客組織發(fā)起的APT高級(jí)攻擊事件在國(guó)與國(guó),企業(yè)與企業(yè)之間會(huì)越來越多,安全發(fā)展的這么多年,你會(huì)發(fā)現(xiàn)其實(shí)核心的東西其實(shí)一直沒有變,做為一名安全從業(yè)人員,只需要做到:堅(jiān)持,不忘初心。


 
 

上一篇:Project Zero團(tuán)隊(duì)披露微軟尚未完全修復(fù)的Windows 10提權(quán)漏洞

下一篇:2020年12月25日聚銘安全速遞