知道创宇高级威胁情报团队：以APT测绘及APT防御应对高级威胁

近日，网安产业资讯媒体安全419推出《高级威胁检测与响应解决方案》系列访谈，知道创宇404实验室APT高级威胁情报团队在其中分享了自身在该领域的观察思考和实践。

知道创宇希望通过一体化的安全产品+专业服务，以APT测绘及APT防御助力客户打好应对APT攻击的组合拳。

以下内容引用自安全419。

伴随着对云计算的拥抱、新的DevOps流程的普及、物联网设备的蔓延、供应链的复杂交织以及更多数字基建的涌现，新一代网络攻击手段也在持续演进，有效的威胁检测与响应能力作为重要的攻防手段，是提升实战化对抗能力的关键因素。

安全419推出《高级威胁检测与响应解决方案》系列访谈，邀请相关安全厂商分享主动感知、分析、防御、溯源高级威胁的成功经验，及其方案服务的能力和特色，为企业用户提升安全建设水平提供一定参考。

本期访谈的主角是业内知名的网络安全公司知道创宇，我们邀请了知道创宇404实验室APT高级威胁情报团队来分享自身在该领域的观察思考和实践。知道创宇——全称北京知道创宇信息技术股份有限公司，是一家立足攻防一线，与客户并肩战斗，拥有“实战对抗”能力的网络安全公司。知道创宇成立于2007年，由数位资深安全专家创办，以“AI+安全大数据”为底层能力，为客户提供云防御、云监测、云测绘产品与服务。

APT攻击愈演愈烈

 网络空间安全形势持续升级

今年6月，西北工业大学表示，西工大电子邮件系统遭受网络攻击。9月5日，国家计算机病毒应急处理中心发布《西北工业大学遭美国NSA网络攻击事件调查报告》，揭露了境外黑客组织长期渗透控制中国基础设施核心设备，窃取中国用户隐私信息的事实。

这一安全事件让APT高级可持续性威胁这一行业用语走到台前，让社会各界加深了对活跃在网络阴暗面的网络攻击活动的认知。事实上，在大众视野之外，APT攻击、勒索攻击、超大规模数据泄露、波及范围极广的重大安全漏洞等类型众多的安全事件时刻都在发生，网络空间的安全形势日渐严峻。

● APT攻击频次剧增 攻击手段更加复杂

在采访中，知道创宇404实验室APT高级威胁情报团队的安全专家告诉我们，近两年来，知道创宇发现，APT攻击频次日益增多，仅今年上半年便发现了100多起APT攻击活动，数量远高于去年全年APT事件的总和，且攻击对象涵盖了政府、军工、能源、金融等众多领域。在攻防对抗中，漏洞利用攻击、无文件攻击、供应链攻击等各类高级攻击手法频频出现，0day漏洞攻击数量显著。

安全专家们谈到，知道创宇404实验室APT高级威胁情报团队在2021年末发布的APT攻击趋势报告总结中曾指出，以海莲花为首的一系列APT组织正在逐步放弃钓鱼邮件的传统攻击手段，转为采用漏洞攻击、渗透攻击等更高级的方式发起攻击活动，攻击目标也逐步转为优先攻击安全公司、终端软件管理公司、科技公司等，再通过上述攻击在供应链中植入恶意代码，实现供应链攻击，抵达攻击者的最终攻击目标。从不断爆发的大规模攻击事件中不难看出，APT组织越发猖獗，APT攻击活动也越发频繁，采取相应措施抵御威胁刻不容缓。”

● 攻防对抗日趋激烈 传统安全思维日渐式微

安全专家们进一步指出，随着攻防双方对抗手段的持续升级，漏洞利用攻击、无文件攻击、供应链攻击等各类高级攻击手段出现，其攻击手法隐蔽、破坏性强，给传统防护安全带来了极大挑战，传统的被动防护思维和技术手段已无法对层出不穷的新型攻击手法进行有效检测和识别，无形中降低了客户信息系统的安全防护能力。

“在某些案例里，我们发现海莲花组织专门针对国内某知名反病毒厂商的杀软做了免杀。在安装了某杀软的机器上运行后，杀软全盘扫描也无法识别该木马文件，这凸显了一线攻防对抗的激烈性。”

他们表示，为应对日益更新的攻击手法，业内主流的防护手段也逐步从传统特征、情报等单一检测手段，演变成多种检测手段融合的方式，通过对高级威胁全周期的不同攻击阶段利用不同的检测手段进行检测，进一步缩短对APT攻击的发现周期。同时，将AI技术引进网络安全领域也已成为新趋势，AI技术基于大数据对不同业务场景威胁进行建模分析，挖掘数据规律及目标特征，提升高级威胁及未知威胁的检出率，提高网络分析的效率及准确性。

404实验室APT高级威胁情报团队认为，当前业内主流防护手段更应注重向前防御理念打破被动防御，即在攻击者发起攻击前，就对可疑IP、域名进行持续追踪，确保攻击被扼杀在摇篮。作为一线攻防厂商，知道创宇在APT高级威胁检测与防御方面已经积累了大量经验和实践，利用全网独家的测绘情报，知道创宇已能帮助用户在APT发起攻击前就可识别到可疑IP、域名，有效进行提前监控，同时结合基因图谱检测、复杂位运算、沙箱检测等先进技术，实现对未知威胁的积极防御。

安全产品+专业服务一体化

以APT测绘及APT防御应对高级威胁

404实验室APT高级威胁情报团队表示，知道创宇在早期就意识到了APT攻击的严峻性，为了掌握APT攻击在全球的活动情况，以便快速高效地应对APT攻击，知道创宇与监管客户共同进行一线攻击跟踪，加强对APT组织的研究，并与国家单位进行深度的实战化合作，长期对全球范围内的APT组织进行深入的、持续化的跟踪和研究分析。

目前知道创宇已经形成了安全产品+专业服务一体化，通过APT测绘+APT防御的完整解决方案，帮助用户构建精准和高效的APT全面防御能力。

图：知道创宇APT检测与响应解决方案框架

向前防御

知道创宇通过在全球网络空间资产测绘、漏洞挖掘研究以及云防御持续十余年的一线实战对抗，积累了海量向前防御大数据和外网持续交火大数据，能够为用户构建向前防御能力，在空间层面将对抗地点放在自身网络疆界以外，在时间层面提前获取攻击者资产、画像、漏洞等一手信息，实现网络安全防御关口前移，赢得时间和空间的主动。

边界防御

通过在互联网边界旁路部署创宇云图威胁检测系统、创宇猎幽APT流量监测系统，对进出互联网的流量进行全流量深度分析，基于基因图谱检测、复杂位运算、APT情报测绘、沙箱检测等技术，对流量中存在的0Day漏洞攻击、勒索病毒、恶意代码变种、恶意文件、异常访问行为、数据泄露、暗网通讯、APT攻击等进行检测与识别，构建针对攻击链的交叉检测验证体系。

内网防御

通过在内网主机或云主机上部署创宇云影内网主机安全监测系统轻量级客户端，提供对抗黑客攻击及恶意代码的能力，有效检测及拦截已知和未知安全威胁如0Day攻击、勒索病毒攻击、横向渗透、无文件攻击、供应链攻击、APT攻击等，并且可以提供资产清点、端点取证、溯源分析、系统恢复等能力，将预防、检测和响应集中在统一的控制台流程中，为端点提供全面的全生命周期安全防护。

协同联防

通过将检测结果同步给旁路部署的威胁情报网关进行联动，实现对攻击者的旁路阻断，形成监测预警、威胁检测、溯源分析和响应处置能力闭环，同时可与云端进行实时情报更新，实现全网联防联控。创宇威胁感知大数据平台（CIC）则可以收集多源的高级威胁检测数据，通过大数据建模和关联分析，实现全局视角的威胁态势感知和风险研判。

专家服务

知道创宇404实验室APT高级威胁情报团队由经验丰富的安全专家组成，长期为国家相关部门进行APT监测相关技术支撑，可为客户提供专业的一手APT情报、APT木马及流量分析服务，协助客户实现安全事件的溯源分析，持续提升高级威胁检测与响应能力。

多管齐下

助力企业客户打好应对APT攻击的组合拳

404实验室APT高级威胁情报团队的专家介绍，在产品层面，知道创宇主要通过：创宇云图威胁检测系统、创宇猎幽APT流量监测系统、创宇云影内网主机安全监测系统、创宇威胁感知大数据平台（CIC）在内的四款安全产品，来帮助用户打好应对APT攻击的组合拳。

“创宇云图威胁检测系统、创宇猎幽APT流量监测系统实现了基于网络全流量的高级威胁检测。创宇云影提供了覆盖个人终端、主机侧的高级威胁检测和响应处置的能力。创宇威胁感知大数据平台（CIC）则可以收集多源的高级威胁检测数据，通过大数据建模和关联分析，实现全局视角的威胁态势感知和风险研判。”

客户案例：

助力某央企精准感知未知威胁 实现高级威胁防护

在采访中，404实验室APT高级威胁情报团队的专家为我们分享了知道创宇成功帮助某央企构建APT检测与防御能力的成功案例。据介绍，此前该企业客户也曾部署过其他安全厂商旗下的NTA、NDR、EDR类型设备进行尝试，但经检测分析结果发现，其在未知威胁攻击防护方面效果仍然欠佳，无法实现精准检测和事后的溯源分析。因此迫切需要找到一套真正符合自身安全建设需求的系统性解决方案，更全面、及时地监测到各类APT攻击信息，增强对于重要系统的安全监控。

关键挑战

在对客户的安全现状进行全面深入的检测和梳理过后，知道创宇发现该企业主要存在三个方面的痛点：

01 APT攻击来去无影踪，难以获取APT组织的线索，无法做到及时防御，信息泄露造成严重损失；

02 当前分析流量主要依靠人工，高级安全分析人员人手欠缺，无法支撑大量的告警分析，且不可控因素较强；

03 溯源困难，无法全面了解已发生的APT事件背景包括攻击目标、范围、趋势等信息，无法对未来的安全规划提供合理化建议。

解决方案

针对这一企业存在的安全问题，知道创宇安全团队通过多次现场沟通和调研，最终在该客户总部数据中心互联网边界旁路部署了创宇云图威胁检测系统、创宇猎幽APT流量监测系统对进出互联网的流量进行全流量深度分析，为了减少对原有链路的影响，采用1分2分光器以80:20的分光比例对流量进行采集。

同时在办公PC、云主机、物理主机上分别部署创宇云影内网主机安全监测系统轻量级客户端进行安全检测，并将安全检测的数据汇总于管理中心进行安全分析。在发生告警后，知道创宇安全专家协助客户进行现场取证，结合创宇智脑威胁情报进行深入分析，对攻击链完整还原，提供分析报告并给出安全策略的优化建议。

应用效果

在该系列产品全面部署上线后，仅一周的时间内，知道创宇就在该企业内网中发现包括内网webshell渗透攻击、内网主机感染mozi木马进行横向传播、内网主机感染Polaris木马进行横向传播、内网主机对其他内网主机进行漏洞攻击、内网主机感染多个APT组织木马及其他各类木马，以及多起外部IP对内网进行漏洞攻击事件，随后快速有效帮助该客户精准感知未知威胁并进行快速处置。

专家们谈到，能否真正助力客户精准感知未知威胁、实现高级威胁防护，是衡量厂商安全能力和APT攻击检测与响应解决方案价值的唯一准绳。他们认为，知道创宇这一套APT攻击检测与响应解决方案价值主要体现在以下四个方面：

01 首创将ZoomEye全球网络空间测绘与APT情报相结合，产出精准的高价值APT测绘情报并落地到产品，有效提升APT攻击的感知能力。

02 对Seebug 漏洞平台进行规则转化，形成特有的漏洞规则，有效提升产品针对漏洞利用攻击的检出能力。

03 对用户关键的网络流量进行全流量威胁分析，将人工智能落地到网络安全领域，利用大数据与人工智能技术构建网络攻击检测预溯源解决方案。

04 对云端情报、全流量检测、终端检测多种技术发现的威胁进行进一步的关联分析，基于APT攻击链及攻击场景模型挖掘出高级威胁。

APT攻击将持续复杂化和隐蔽化

更加难以检测和防范

采访最后，谈及APT攻击未来攻防趋势以及知道创宇的应对思路时，404实验室APT高级威胁情报团队的专家谈到，“未来3-5年黑客会更加有针对性、有组织性地对关基单位、企业发起攻击，以达到窃取重要信息，非法盈利的目的。比如前段时间，勒索组织对国际知名安全厂商思科进行定向勒索。类似的这些攻击也往往具有强时效性，漏洞刚被披露甚至是未被察觉的时候，黑客就发起了攻击，让大家措手不及，难以及时应对。”

此外，未来高级威胁可能会更多地针对现有特征检测技术的对抗，实现对特征检测技术的绕过，如IDS类检测特征绕过、杀软特征绕过，也有研究利用人工智能技术，如强化学习，训练对抗现有检测手段的绕过能力工具或样本，以及更多地使用加密或隐蔽隧道方式，隐藏攻击行为和内容。

他们表示：“知道创宇404实验室APT高级威胁情报团队针对未来趋势，将依照向前防御理念，从国内领先的Seebug漏洞平台上提取实时披露的最新漏洞信息，在第一时间将最新高危漏洞转化为规则特征，确保N day漏洞攻击的优越检测性能。”

同时知道创宇404实验室也将持续深研测绘与情报结合的解决方案，增加APT情报提前获取的准确性、高效性。对于某些复杂攻击，知道创宇404实验室将专门定制模型算法，结合机器学习、大数据处理，有针对性地对其进行检测，目前已在实战中验证了隐蔽隧道检测模型针对加密流量进行检测的优越性。此外，知道创宇相关产品还将进一步的与云防御持续交火大数据融合，以数据情报为全线产品动态赋能，形成云地联动、多点协同的联防联控能力，协助客户构建积极防御体系。