冰血封情:APT在互联网犯罪中的历史形态及应对建议

国内互联网犯罪处于学习阶段,境外国家和地区的互联网犯罪已经逐步影响境内,到千禧年前国内已经开始出现有组织的互联网黑产和灰产。我解释一下黑产和灰产,黑产是互联网犯罪,赤裸裸的犯罪,是明摆着的就是诈骗,灰产就是既不犯法也不合法,或者是不触犯所在国法律的一种犯罪行为。APT在这个时期的形态,已经长期存在掌握在少数黑客泰斗手中。互联网淳朴状态致使互联网犯罪成本低。APT极少应用于这个时期的互联网犯罪。在高级黑客常规活动中,他们入侵安全性较高的网络,一直用此手法,就像暗网一直存在,APT不是新话题,只是今天赋其名字,给他光环。

第二个时期是互联网犯罪萌生和发展期。萌生发展期是千禧年之后的八到十年间。这个时候技术开始普及了,国内互联网上各种网络安全技术交流和安全社区蓬勃发展人才池形成。特点是深入浅出,大量优秀的信息安全研究团队相互碰撞并促进安全商业化发展。各种各样的安全团队开始交流,整个安全行业向前快速发展,这个时候已经有资本侵入了。因为开始有蓬勃发展了,这个行业开始嗅到现金的味道,商业化感染黑客给APT技术在互联网犯罪中运用以谋取暴利机会。沟通密切,国际技术交流频繁互联网犯罪团体和国内的不法商人勾结日益密切。资本侵入是双刃剑,有利有弊,安全领域催生大量襁褓中优秀的新生代企业,开放公益的互联网生态遭到赏金和资本的破坏。当技术共享触犯灰色产业的利益时即遭到恶毒攻击反扑。2005年末开始2010年中这种形势状态达到顶峰。

互联网犯罪形势,APT技术手法逐渐公开趋向完善,传统的漏洞已经被扫光了,开始有新的突破。APT开始广泛应用到互联网犯罪领域,与灰色产业成鱼水之势,这是很严重的时期。灰色产业蔓延的后果是使大量的不法商人开始在互联网寻求黑客合作。他在公司几千块钱,出来给人干几万块钱,他就没办法好好干了,他想出去挣钱了。灰色产业的存在已经严重影响到安全人才的转化输出,不管是专业的要使用的人才还是第三方公司要使用人才,都受到了影响。

第三个时期是泛滥与急刹。时期是2010年开始到2013年,态势恶化,互联网犯罪和灰色产业境内外勾结,黄赌和诈骗类尤其明显。各行业网络安全事件频发上升趋势更为明显,互联网犯罪和灰色产业已经成为安全进步的巨大逆流。加强打击,对互联网犯罪的打击逐年加大力度,大量典型案例侦破并公诸天下。

有几个特点,收效显著,迫使互联网犯罪得到有效控制,大量团伙转型侧重境内外勾结的灰色产业。灰色产业不合法也不触犯所在国法律的边缘。触犯法律量刑难或法条不足。交易特点,暗网也就是网络黑市、比特币、地下钱庄、赌场冲抵、第三方支付等。反恐局势,APT攻击大量被应用于灰色产业,赏金猎手为了巨额诱惑甚至不惜与类似的ISIS这样的魔鬼交易。一定程度上边缘的灰色产业已经开始影响到国家安全,黑帽SEO有个特点,做黑帽SEO的人到境外做,深入政府网站、高校网站,这些网站权重高,通过黑帽的手段把它的权重引到它的灰色产业网站上来,但他们通常做的权重高的网站有一部分政府网站很可能落到国外政府网站上。一种新型的网络恐怖主义就诞生了,前段时间我在朋友圈看到了网上的软绑架,交易服务开始与恐怖接轨。

现在是网络安全中兴盛世新纪元。2004年至今,国家政策扶持,十二五规划中的重点电子商务电子政务安全问题凸显。国际网络安全合作期,针对国际互连网犯罪和网络恐怖主义国际联手合作打击。新生代网络安全企业,新模式和新架构的网络安全企业得到催生和蓬勃发展。全民网络安全的培养,安全公司和高校培训机构等的网络安全普及教育媒体宣传。整体深化网络安全带,互联网犯罪、商业间谍、隐私管控、反恐、舆情等立体式净网。灰色产业转为更为深刻的APT技术运用。灰色产业的目标不再是简单的公司,都是世界一流的公司,你们可能听过安全专家的意见,我的总结是根据我们作为一线渗透者、一线攻击的人总结出来的防护,我不会像安全公司做防护,我也没办法给你提供具体的完整的解决方案,但我告诉你我是怎么攻击的,哪些环节是我攻击的要点。

大量措施可以查资料,传统安全体系,杀毒软件和软硬墙和密码等的设置和更新,尽管都是马后炮也要做。指令重复确认,非面对面请求均更换通信重复核实对方身份,有效防止欺骗。第三是重要数据要物理隔离,保密数据非对称加密物理隔离存储尤忌云。严格交换审计,针对保密数据的交换设备要严格区分定期检查,U盘不混,刻录盘片。移动设备禁入,保密数据的物理隔离内网对一切移动设备禁入,笔记本、手机等。互访加密代理,允许访问公网的机、内对外、内对内都上加密VPN,大部分控守马。定期安全检查,聘请专业的第三方安全公司定期对自身做白盒安全审计。