东巽科技：传统设备无法防御APT攻击

7月14日，在第12届网络主管论坛成都站，东巽科技王超发表演讲。他表示目前国际上针对政府、金融、能源、企业、军方等网络的APT攻击事件越来越多。在最近备受关注的“南海仲裁”事件中，一个与东南亚和中国南海问题相关的APT攻击被发现，该APT攻击以包括美国在内的各国政府和公司为目标。该攻击利用CVE-2014-4114漏洞，渗透进入未打补丁的Office PowerPoint 2003 和2007，进而发动攻击。

他认为，网络空间的对抗已经进入到免杀技术对抗、隐蔽通道对抗、高级隐藏对抗等高阶层次的对抗。从防护角度而言，没有专业的安全团队，没有足够的技术能力储备，很难甄别出高级网络攻击，而这些攻击往往针对特定群体而定制，非常容易造成重大损失。在13日发生的“台湾ATM机吐钱事件”，是APT攻击作案的典型手段。

“APT攻击是一个综合概念，它不单指网络攻击，它可以包含很多种攻击形式，比如社会工程学攻击，甚至在某些特定需要的时候黑客还会亲自靠近目标取得信息，像电影里面演的一样”。王超说，“针对目标，黑客不会放过任何一个可利用的机会，然后对于在暗处的目标来说，任何一个细节的轻视都可能给对方可乘之机”。

还有被众多用户依赖的网络安全设备中并不安全，如防火墙基于IP和端口进行拦截，缺乏对内容的深度分析和威胁检测；入侵检测基于攻击特征检测，误报率高、事件太多，容易被伪装绕过；杀毒软件基于代码指纹进行检测，容易被免杀绕过，很难识别未知恶意代码，等等。这些设备的劣势会给黑客带来机会。

他认为，目前的网络系统是否正在遭受攻击，是否已经被攻陷，关键资产有没有被攻击，核心数据是否被拿走等等，这些问题需要引起网络运维人员的足够重视，防患于未然。“如果你还没认识到网络早已变得十分脆弱，那么你就已经失败了。”