5月23日,中国科学院大学网络空间安全学院和中国科学院信息工程研究所共同举办的系列讲座“网安讲堂”迎来第三讲——APT攻击的发现溯源。本次讲座邀请中国科学院信息工程研究所研究员、第六研究室主任,国科大网安学院刘宝旭教授作为主讲人。刘老师结合实际科研工作及经典案例,为大家带来了精彩的“APT发现溯源”主题讲座。
随着网络空间的内涵和外延不断扩展,信息系统成为了连接人类社会和物理世界的纽带。网络空间现今已然成为第五大战略空间,保卫网络安全也已上升成为国家战略。
当前的国际形势错综复杂,各国尽量避免传统战争,而网络空间战争却因此逐渐尖锐。网络空间威胁来源也十分复杂且多样化。我国在网络信息技术起步较晚的情况下,需要做到知己知彼,方能有的放矢,有效应对网络攻击,因此,了解对手的攻击能力以及掌握发现溯源技术显得尤为重要。
刘老师列举了14种常见的网络攻击方式(如图2所示),并一一进行讲解分析。这些攻击方式向不同的领域发起不同性质的攻击,而且普遍存在于我们的日常生活中,对网络空间和人类社会都造成了极大的影响和威胁。
在长期的攻防研究中,攻击过程已被总结为模型,比较知名的有杀伤链模型(如图3所示)和知识库-ATT&CK模型,在发现溯源过程中尤为重要,且经实际检验十分有效。接着,刘老师以APT1为例,描述了APT攻击步骤,并为我们详细讲解溯源取证架构与流程,以及实际的发现溯源实施步骤。
网络攻击发现溯源是网络空间博弈的关键。通过发现溯源确定攻击源头,对实施针对性的防御策略、减小攻击影响、调查取证并形成威慑力、提高网络主动防御的及时性与有效性等都具有重要作用。通过发现溯源能力的提升,形成有说服力的分析案例,也可为我国在大国网络空间安全规则博弈中积累表达素材、赢得国际话语权提供重要的技术能力支撑。
本次讲座中,刘老师生动的讲解和深刻的分析,使同学们对APT攻击的发现溯源有了更深层次的了解,也意识到了发现溯源技术在对抗攻击中的重要性,收获颇丰。
