近年来,网络空间安全威胁发生了巨大的变化,具备组织背景的APT(AdvancedPersistentThreat缩写,意思是高级持续性威胁)攻击也越来越多地被安全研究机构曝光。
APT是公认的危害性最大的黑客攻击行为。APT攻击有着复杂度高、对抗性强、隐蔽性强等特点,通常有着窃取政府单位的国家机密、重要企业的科技信息、破坏网络基础设施等目的。
网络安全行业人士认为,APT攻击对于国家和企业来说都是一个巨大的网络安全威胁。当前APT攻击已经随着互联网渗透到社会的各个角落,抵御APT攻击成为各机构及企业必须直面的难题。对于网络安全机构而言,如何做到让变幻莫测的APT组织清晰可见,并帮助相关机构快速高效地应对APT攻击,已成为网络安全产业企业的共同责任。
日前,绿盟科技联合由方滨兴院士团队创建的广州大学网络空间先进技术研究院联合发布了2021年《APT组织情报研究年鉴》(以下简称年鉴),借助网络空间威胁建模知识图谱和大数据复合语义追踪技术,对全球372个APT组织进行了知识图谱归因建档,形成APT组织档案馆,并对APT组织活动进行大数据追踪,从而对新增和活跃的攻击组织的攻击活动态势进行分析。
“年鉴用近3年的时间,在原有的基础上对情报数据通过知识图谱进行整合,形成了归一化的APT组织档案馆。”绿盟科技平行实验室负责人肖岩军接受科普时报记者采访时表示,通过档案馆能力转化为威胁情报赋能安全产品和大数据平台,形成ISR情报监视侦察体系,有效追踪APT组织。
近两年来,公安部、网信办、工信部都非常重视有组织的网络犯罪,国家也开始建设国家级防御体系,组织专项APT检查,网络空间安全的检测和防御从合规走向实战。
肖岩军表示,通过认知图谱等人工智能技术进行网络归因,对APT组织形成画像图鉴,进而优化APT追踪溯源,可知道APT的特性和攻击力等指标,从而有针对性地防守和反击。“基于AI人工智能辅助,打击APT也能像打游戏一样简单。”
当然,对抗APT攻击也不能完全依赖AI的辅助,产业界的大量研究和实践经验已经明确证明至少在网络安全领域,AI绝不是万能的,更明智的思路应该是以机器的速度战胜机器,用人的创造力对抗人。
肖岩军表示,AI当然能够在海量数据和威胁模型未知的场景下进行有效的探索性尝试,但是AI并不能解决所有的网络安全问题,更明智的做法是让AI成为安全研究员的工具和方法之一,而不是完全一股脑地全盘依赖AI的判断和输出结果。“AI技术的加入,确实让安全机构积累了大量的APT攻击线索和特征,但如果单纯依靠这些技术,必然存在大量的误报和漏报,因此还是需要研究员去进行强干预。在整个AI处理流程的前端和后端进行威胁数据的预处理、威胁模型构建,以及传统的恶意代码分析,才能有效和准确地发现APT的真实攻击”。(陈杰)
