网络安全产业参与曝光高级可持续威胁组织的动因及启示

国外网络安全公司曝光 APT 组织的基本情况 

网络安全公司成为披露 APT 组织信息的主渠道

目前，发布 APT 组织信息的机构主要有三 类。首先，网络安全公司是当前曝光 APT 组织 的主要力量。随着新兴资本与情报界人才大量 流入更具规模和能力的网络安全行业，世界范 围内已经有众多企业拥有足以同政府情报和执 法部门相媲美的数据情报收集与分析水平，对 APT 组织具有更为强大的分析追踪能力。其次， 大型企业的安全机构或部门是曝光 APT 攻击的 新兴力量。目前，一些知名企业纷纷组建技术 实力强大的安全团队，以应对日益严峻的网络 安全形势。例如，谷歌的安全团队早在 2014 年就先于“火眼”公司发现了与俄罗斯政府有关 系的黑客组织 APT28。2017 年 4 月份，普华永 道的网络安全部门与世界第三大军工企业 BAE 系统公司配合英国国家网络安全中心披露了 APT10 黑客组织的情况，并称该黑客组织来自 中国。再者，国家情报部门利用网络安全企业 的技术支持，成为曝光 APT 组织的权威部门。 近年来，美、英、德、法、韩等国的情报部门， 通过政企合作的方式，均披露过本国政府部门 或相关团体受到 APT 攻击，并发布了详细报告。

“利益驱动、政治导向”是网络安全公司发布 APT 组织报告的根本动因

目前，由于网络安全企业在业务能力、面 向客户以及与政府部门协作关系等层面存在差 异，因此其发布 APT 黑客组织报告的动机也有 所不同。综合来看，主要有两个方面。一是经 济利益驱动。大多数公司发布报告的目的是为 了证明自身技术实力，提升业内知名度，从而 获取更多的商业利益。美国的网络安全私营企 业与政府有着极其密切的合作，通过网络防务 承包，两者已经形成了紧密且十分庞大的网络 安全产业复合体。此外，美国情报部门还出资 培育一些对其有价值的网络安全公司。例如， 美国中情局(CIA)的风险投资部门 In-Q-Tel 对于“火眼”的早期发展就给予了一定的帮助 和引导，并保留了“火眼”一小部分的股份(少 于 1%)。对于以商业利益为首要目标的网络安 全公司来说，曝光美国敌对国家的黑客攻击活 动，帮助政府做其不方便出面做的事情，不仅 可以证明自身技术实力，还可以与政府建立更 加紧密的捆绑关系。二是服务于政治目的。美 国公私部门之间的“旋转门”机制使得美国军 队、安全机构与网络防务承包商之间存在着频 繁的人员流动。例如 2013 年披露中国网络间谍 报告的 Mandiant 公司，其创始人就是美国空军 退役军官，曾在美国国防部担任计算机安全官 员。这种人力资源为美国政府利用私营企业实 现其战略目的提供了便利，也成为很多安全公 司生存之本，也是服务于美国的国家政治需要。 作为美国政府的“马前卒”，这些私营企业可 以成为实现美国政府政治目的“隐形推手”。 一般情况下，这类由政府主导的揭露黑客组织 事件多发生在政府发布某些针对别国的外交政 策前后，以证明其外交政策的正当性。

“溯源取证、技术支撑”是网络安全公司披露判定 APT 组织身份的主要手段

当前，技术实力强大的网络安全公司经常 发布关于由国家支持的 APT 黑客组织发动攻击活动的报告，涉及朝鲜、越南、伊朗、俄罗斯等， 中国也多次成为被曝光的对象，使中国处于极 其被动的地位，并且成为美国制造并宣扬“中 国网络威胁论”的重要推手，这其实已经形成 了一种战略威慑，对国家安全布局乃至国际关 系和全球格局都产生了一定的影响。安全公司 发布的报告之所以能够起到这么大的影响力， 归根到底是其具有强大的技术支撑，能够在技 术层面形成证据链。一般情况下，网络安全公 司与国家情报部门主要通过被攻击的目标主体、 攻击的范围和强度来判断攻击是否属于国家行 为，甚至可以直接通过溯源追踪找出黑客组织 的身份证据。通常 APT 组织的国别判断依据主 要以发动攻击的时间和程序执行编译的时间符 合哪一时区、程序中的设置语言、受攻击国的 地缘政治利益、发动攻击的时机是否与某一国 际政治事件重合，以及通过与之前攻击活动所 用的恶意软件等攻击工具和攻击方式进行对比 等条件判断，再结合对攻击源头的反向定位， 从而得出 APT 组织的相关结论。 

国外网络安全公司曝光 APT 组织的主要特点

曝光的 APT 组织具有很明显的选择性

近年来，被曝光的 APT 组织主要包括有国 家政府背景的黑客组织和无政府背景的网络犯 罪组织。其中无政府支持的 APT 组织发动攻击 多为谋求经济利益，通过窃取企业重要用户信 息、知识产权、商业机密等进行贩卖和勒索， 或通过窃取个人信息、个人数据进行身份欺诈 等金融犯罪活动。由国家政府支持的 APT 组织则通常出于政治目的发动攻击活动，窃取情报， 开展间谍活动。从当前网络安全公司曝光 APT 黑客组织的情况看，其选择披露对象具有明显 的针对性，突出了国家政府支持的 APT 组织信 息。特别是美国，范围集中在美国的竞争对手 或无国际影响力的小国，而对于美国政府及其 盟友所实施的黑客行为，他们则视而不见、避 而不谈。作为美国的网络安全公司，其客户大 部分为欧美企业，所以曝光的集中点聚焦于中 俄等具有竞争力的大国。美国强大的网络攻击 和网络监控能力世界皆知，其监控的触角遍布 全球，因此美国网络安全公司绝对有能力监测 到欧美的黑客攻击活动，然而，欧美的黑客活 动从未得到美国网络安全公司的揭露，这就充 分证明了这些网络安全公司与政府之间的密切 关系，具有很强的政治属性。

网络安全公司与国家部门政企联动，扩大影响

在网络安全公司或国家情报部门发布 APT 组织的报告后，其国家政府部门往往会紧接着 采取后续跟进措施，以加强渲染、施加压力， 并最终达到某种政治目的或更高层面的国家企 图。其做法通常有三种:一是发布警告声明， 提高警戒水平，加强防范。例如，2017 年 6 月， 在多个网络安全公司发布“WannaCry”勒索病 毒与朝鲜黑客组织有关的证据后，美国国土安 全部与联邦调查局联合发布了一份警告声明， 对朝鲜政府自 2009 年以来发起的一系列网络攻 击提出指责并警告称未来可能会出现更多的网 络攻击事件。二是采取制裁措施进行报复。2016 年 12 月，美国前总统奥巴马宣布对俄罗斯进行制裁，以此作为对美国政府所称的俄罗斯黑客组 织干预美国大选所采取的报复措施。三是逮捕、 起诉黑客人员。近年来，美国执法部门陆续逮捕、 起诉了多名涉嫌攻击美国政府和企业的黑客， 成为美国打击国家支持的网络攻击的又一重要 工具，并对国际关系造成了一定程度的影响。

被曝光国家“被动否认，消极应对”

目前，针对网络安全公司或国家情报机构 明确指出 APT 黑客攻击活动来源于某一国政府 的情况，被披露国家通常采取的态度主要包括 三种。一是全面否认，并强调自身是网络攻击 的受害国。目前，包括越南、俄罗斯、朝鲜、 伊朗在内的被披露涉及黑客攻击活动的国家在 报告发布的第一时间都采取全面否认的方式进 行回应，并强调自身长期受到网络攻击的事实。 这种方式可以转移事件的焦点，减少舆论压力。 此外，某些国家在否认的同时，也会用其他的 可能原因从另一个角度来解读事件，以模糊视 听。二是承认指控，但撇清与政府的关系。俄 罗斯总统普京近期面对美国指责俄罗斯干扰美 国大选时，承认“一些‘爱国’黑客可能令这 段时间俄罗斯与西方的关系雪上加霜”，但否 认俄罗斯在国家层面参与过此类活动。这种回 应方式从侧面承认了攻击活动，但撇清了政府 的责任。三是承认指控，但用法律和国家安全 当挡箭牌。2013 年“棱镜门”事件曝光后，美 国前总统奥巴马虽然公开承认实施网络监控计 划，但却极力维护该计划的正当性，以法律和 国家安全为挡箭牌。“国家安全”和“反恐” 是美国一贯使用的“伎俩”，是其所有受到质 疑的网络攻击行动的“保护伞”。  

几点启示

加强网络安全态势感知和防御能力

APT 组织攻击目标明确、危害大，甚至对 国家安全构成严重威胁，因此政府机构成为世界 各国对抗 APT 攻击的最主要支持。只有政府建 立强大的威胁监测、防御、分析、溯源等安全 技术能力，才能有效地发现威胁、阻断攻击以 及反制对手，才能取得主动。在全球网络安全 形势日趋严峻的形势下，国家安全态势感知和 防御能力是抵御威胁的根本保障。而与欧美相 比，我国安全防御技术总体落后，对高级别复 杂性威胁应对能力不足，这就需要政府机构集 中力量大力发展网络安全技术 , 通过政、产、研、 学合作提升整体网络安全技术水平，从而为国 家网络安全态势感知和防御提供支撑。一方面， 以技术为基础，在政府的政策支持和统筹管理 下，整合党政军民多方资金、技术和科技资源， 发挥政府机构和网络安全公司各自优势，形成 取长补短的技术发展格局。另一方面，以人才 为根本，着力培养顶尖网络安全技术人才 , 为网 络安全技术的发展提供人才支撑，以此不断健 全国家空间安防力量，对 APT 组织网络攻击形 成威慑，在国际网络空间大环境中取得话语权。

重点培植网络安全知名企业，充分发挥网络安全公司在网络空间国际治理中的支撑作用

目前我国的网络安全产业虽然得到快速发 展，但尚未形成完备的生态体系，缺乏能够与 国外企业抗衡的知名企业，这使得我国在网络安全治理方面难以获得有效的产业支撑，对待 APT 组织攻击难以分析取证，难以掌握整个攻 击过程，并缺乏有效的反制措施 , 在整个网络防 护过程中处于被动的不利地位。培育顶尖的网 络安全公司，发展强大的网络安全技术，不仅 可以为我国网络安全体系建立坚固的安全防线， 保护我国关键信息基础设施安全和数据安全， 还可以利用民间企业的创新能力为国家在国际 网络空间博弈中提供有效的先进技术支撑。当 前，我国应积极在国内选取一批优质的网络安 全企业，主动培育发展技术实力强的网络安全 龙头企业，使其成为国家间网络空间防御体系 的重要力量，为占据网络空间制高点和提升国 际话语权贡献力量。

深入推进网络空间国际合作战略，强化网络安全合作联防

面对日益严峻的 APT 攻击威胁，任何国家 都难以独善其身，国家政府应以深入推进网络 空间国际合作战略为依托，不断拓展网络空间 伙伴关系，积极与其他各国开展对话与合作， 实现威胁信息、安全技术共享，共同开展打击 恶意网络攻击活动。同时，面对全球性的网络 安全问题与挑战 , 国家政府应积极推进建设性国 际协商合作，积极树立“负责任大国”的正面 国际形象;针对他国的恶意指控，需借助国际 合作平台向世界各国表明国家政府希望网络空 间和平、各国共同繁荣发展的明确立场，向世 界宣传 “网络空间共同体”的主张，消除西方 国家营造“黑客威胁论”的土壤环境。 

作者 >>>

姚述源，张节，北京双洲科技有限公司

（本文选自《信息安全与通信保密》2018年第八期）

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。