主持人：我们非常高兴看到方兴分享瀚海源的最新成果，下面有请国家网络信息安全技术研究所的王永刚博士带来演讲《不积跬步，无以至千里—换个角度看APT》。

王永刚：各位下午好，前不久大家都知道一场雾霾袭击了整个中国，大家在雾霾里也看不清整个城市，正如搞安全的人士看不清APT一样，当然很多人士自以为自己能看得清，APT到底是什么，如何应对，它的应对措施真的像我们想的那么简单吗？今天我报告第一理解APT，第二理解一些问题和挑战，第三探讨一些应对的思路。搞安全的人面对APT的时候我们有这么一句话的感慨，怎么突然就不行了，在APT面前，我们春秋的网络信息安全的手段突然就不能抵挡APT的攻击。

国外的案例相信大家都研究过，我们也对他们进行过研究和比较，这些攻击的案例都有一些共同的点，比如他们普通使用的攻击手段，利用了多个漏洞，最后有相当一部分是窃密。在未知的漏洞，未知的代码，加密的通讯背后APT到底是什么？今天为什么要换个角度看？大道至简，我刚才跟谭总也汇报了一下，APT就是精准目标攻击，为什么这么说呢？跟传统的网络安全的攻击相比，APT有一些区别，传统的攻击我形容为贼偷，现在的APT是贼惦记。传统是打哪儿指哪儿，APT是指哪儿打哪儿，是一个精准目标的攻击。从左边可以理解为什么现在传统的方法应对APT是不行的，从右边的部分你也可以理解APT并不是一个新型的技术。所以，有些人说APT是炒概念也是有一定的道理。

APT的出现其实也是必然的，也是社会发展的某一种规律，因为针对这种特定目标的攻击，一方面现在轻易得手的有价值的目标越来越手，而且另外一方面对手水平的不断提升，防范的严密使得攻击者必然会采用持续性的尝试，引入更高级的手段。为什么大家一直描述不清楚，只是威胁的性质不同，从贼偷变成了贼惦记。

目前我们现在的技术能力，现在发展和存在什么样的问题，从国家层面来讲，国家网络安全事件发现能力从2001年到蠕虫，2003年木马、网站，2005年僵尸网络、木马等等，也取得了一些效果，但是也存在一些不足，最主要是高位监测的问题。

为什么传统的方法不行？大家有没有考虑过现在所有的手段，我们现在做了一件蠢事儿，我们试图对APT进行一个描述，试图一下子把问题解决，这才是问题的所在，我们忽视了动机的分析，试图建立部署一套系统就能抵挡APT，或者局限于技术手段的层面被动的抵挡。传统的思路在应对APT方面是存在一定的短板，这边我点了一个更生动的例子，国内案例大家一直找不着，我今天给大家找了一个，为什么称它为APT，首先第一它是利用了社会工程学，因为报复者和被报复的法官存在着亲戚的关系，第二他到前台说我钱包丢在这儿了，能不能让我翻看一下录像。第三他以窃密为一定的目的，把录像拷贝走了，并且发到网上，实施了一个精准目标的攻击。

谁可以在网络空间中发起APT攻击，谁又会成为APT的目标？说到这儿我们要关注一下对手和动机，刚才方总也提到威胁，对手和动机从2001到2004年，小黑客都沉浸在白开心的状态，之后是利用木马、僵尸网络淘黑金的方式，后来是纯小偷，从2007年到现在，最后从2010年开始百无禁忌的APT时代，大玩家终于进场了。

前一段我参加VARA大会，杨义先教授提出全球信息安全的六大战略错误，错误一就是赛博空间是最返祖的野蛮社会，所以，才会产生APT攻击的现象，每个人都可能成为APT精准目标攻击的对象。

为什么要分析动机？一个完整的时间有攻击发起方，攻击受害者和攻击采用的方法，为什么分析攻击？安全威胁涉及两个方面，第一是外在动机，第二是内在隐患，对于一些安全事件这六个W左边是动机的范畴，右边是隐患层面的东西。大玩家关注的不仅仅是传统的网络安全，它的触角涉及到金融、移动互联网、大数据和云计算。

APT不仅仅是信息的窃取，对基础设施可以做多种多样的攻击和破坏。所以，在美国人对动机进行了一些区分、防御和进攻，对于Payload有三个层面的区分，进攻的怎么样，防御的怎么样，将来作为一个前提又会怎么样。

导致安全能力不适应的核心到底是什么？《孙子兵法》说知己知彼百战不殆，不知彼已经成为共识，但是我们也不知彼，新技术的特点使得我们心有余而力不足。

和国外存在的差距，威胁和安全事件的认知偏差等等。

什么是威胁？什么是事件？从技术人员的角度来讲很容易理解狭义的事件，让我查杀一个病毒、木马、阻断入侵，防范一个漏洞，公众是从攻击事件的影响，造成多少损失，多少公司倒闭了。威胁怎么理解？事件强调已经发生的，威胁更强调潜在的事儿，涉及到更多来源、动机、危害性的关注。APT并不是API。

之前我们的安全报告，每年国内包括我们所都会出很多报告，控制了多少IP、网站，发现多少漏洞，还在堆数量的阶段，别人的安全报告已经开始围绕威胁展开，比如什么样的组织，可能什么人在什么地方做了什么事儿，产生了多大的危害。所以，不同之处在于他对攻击的事件不仅要详细知道攻击事件的方法，还需要知道攻击者的动机，更需要知道目标对象会造成什么损失。所以，我们应该应对的是威胁还是事件？应该应对的是威胁，仅仅应对事件我们会越来越被动，面对高级的安全威胁，特别是APT，我们这种做法必然失败。所以，技术以外的因素需要区分危机和目的。所以，APT的应对是一个综合能力的应对，而不是对某些的定技术的应对。所以，我们的安全问题面临哪些问题和挑战，很遗憾的讲我们目前是全面能力的缺失，从漏洞评估，风险评估，应对能力等。分析能力同样也面临一些挑战，真正的分析变的更加困难。

所以，未来的路在哪儿？我们前不久中心牵头跟几家单位，包括移动通信，还有启明一起成立了网络安全应急技术国家实验室，希望能为网络安全检测和抵御做一些工作。

我们总结起来，围绕国家需求研制的实验平台，并且基于实验平台开展技术的研发。

未来的模式，有一个核心的基因团队来建设一个国家级的基础数据综合情报与知识库，这个知识库的知识是来源于多方面的，主要是网络监测、评估检测，探测和情报监测，并且在这个知识库的基础上进行综合性的大数据的关联的深度分析，一方面为国家进行支撑，另一方面可以支撑国家的应急响应的决策支持系统，对行业来讲支持行业基于集中式的装备和服务体系。

新一代的安全能力和定制的安全异常的发现，国家级支持体系的建立，四个字，第一搏，从事件到威胁，关注攻击者的目的和危害，大是大数据的应用，这幅图片大家一看不知道是什么，基于大数据最后可以得出这样的结果，是大象身上的一块皮肤。我们需要国家级层面的基础的网络信息安全的支持去抵御APT。国家级的APT并非一味的扩张的，需要后期对带外数据能够整合进来进行综合的关联分析。精，顾名思义，在行内，包括研究所研发出更加精良的攻击性的或者防御性的工具。深度分析，深度代码分析，深度事件分析，深度数据分析。博多维度的知识构建，异常感知，大，大事业的分析与应对思路。精，强调细节与海底捞针。深，深度分析和洞察。进行关联分析和深度分析。

企业可以做什么，我总结了几点，急需形成的六大能力。第一是软件安全开发和复杂系统安全测试能力。今天早上我导师也提到北大大二的学生学习编程的时候已经灌输这种安全编程的概念。第二是面向重点目标和大规模复杂系统的风险评估能力。第三是围绕漏洞和恶意代码分析的基础能力。第四威胁预警和分析评估能力。第五复杂场景的应急响应能力。第六，主动的防御能力。

回到片子的图片，经过国家级技术支持体系的建立，并且引入大数据进行深度分析，这样的话才能走在抵御APT正确的道路上。谢谢大家。