7月14日,在第12届网络主管论坛成都站,东巽科技王超发表演讲。他表示目前国际上针对政府、金融、能源、企业、军方等网络的APT攻击事件越来越多。在最近备受关注的“南海仲裁”事件中,一个与东南亚和中国南海问题相关的APT攻击被发现,该APT攻击以包括美国在内的各国政府和公司为目标。该攻击利用CVE-2014-4114漏洞,渗透进入未打补丁的Office PowerPoint 2003 和2007,进而发动攻击。
他认为,网络空间的对抗已经进入到免杀技术对抗、隐蔽通道对抗、高级隐藏对抗等高阶层次的对抗。从防护角度而言,没有专业的安全团队,没有足够的技术能力储备,很难甄别出高级网络攻击,而这些攻击往往针对特定群体而定制,非常容易造成重大损失。在13日发生的“台湾ATM机吐钱事件”,是APT攻击作案的典型手段。
“APT攻击是一个综合概念,它不单指网络攻击,它可以包含很多种攻击形式,比如社会工程学攻击,甚至在某些特定需要的时候黑客还会亲自靠近目标取得信息,像电影里面演的一样”。王超说,“针对目标,黑客不会放过任何一个可利用的机会,然后对于在暗处的目标来说,任何一个细节的轻视都可能给对方可乘之机”。
还有被众多用户依赖的网络安全设备中并不安全,如防火墙基于IP和端口进行拦截,缺乏对内容的深度分析和威胁检测;入侵检测基于攻击特征检测,误报率高、事件太多,容易被伪装绕过;杀毒软件基于代码指纹进行检测,容易被免杀绕过,很难识别未知恶意代码,等等。这些设备的劣势会给黑客带来机会。
他认为,目前的网络系统是否正在遭受攻击,是否已经被攻陷,关键资产有没有被攻击,核心数据是否被拿走等等,这些问题需要引起网络运维人员的足够重视,防患于未然。“如果你还没认识到网络早已变得十分脆弱,那么你就已经失败了。”