信息來源：Freebuf

閱讀這篇文章之前，如果你對(duì)APT一無所知，可以先了解一下APT三個(gè)字的英文，A-Advanced，P-Persistent ，T-Threat。

SolarWinds APT事件

前段時(shí)間火眼發(fā)現(xiàn)了一個(gè)基于供應(yīng)鏈攻擊的黑客組織攻擊事件，并將黑客組織命名為UNC2452/Dark Halo，看到這個(gè)名字，就想起了Dark Hotel，國(guó)內(nèi)外各安全廠商也都在第一時(shí)間拿到了APT攻擊的后門樣本，并對(duì)樣本進(jìn)行詳細(xì)分析，之后又有國(guó)內(nèi)外的一些廠商跟蹤分析了攻擊樣本中使用的DGA算法，并通過解密DGA算法，找到了一些受害者客戶的數(shù)據(jù)，至于溯源到的這些客戶里有沒有誤報(bào)的，已經(jīng)不重要了，反正是溯源到了，接著又有越來越多的國(guó)內(nèi)外安全廠商發(fā)布了自己的相關(guān)報(bào)告，報(bào)告基本內(nèi)容就是大同小異，有些廠商加了自己的一些猜測(cè)推理啥的，包含微軟也發(fā)報(bào)了報(bào)告，也對(duì)后門進(jìn)行了詳細(xì)分析以及DGA部分，同時(shí)還推廣了一波自己的產(chǎn)品攔截技術(shù)等，我研究了十幾個(gè)國(guó)內(nèi)外不同的安全廠商針對(duì)此事發(fā)布的報(bào)告，能分析的基本都分析了，其實(shí)這個(gè)事能做的就只能到這里了，作為一個(gè)專業(yè)的安全廠商能在第一時(shí)間內(nèi)拿到攻擊的樣本，并做出快速響應(yīng)，提供相應(yīng)的檢測(cè)清除以及防御解決方案就可以了，如果真的需要進(jìn)行下一步的溯源分析，也只能聯(lián)系SolarWinds公司配合，進(jìn)行內(nèi)部的調(diào)查取證分析了，但如果SolarWinds不配合，或者SolarWinds不找你做溯源取證分析，各大安全廠商基本能做的事就是這些了，至于攻擊者是如何攻擊SolarWinds恐怖也只有曝光的黑客組織Dark Halo或其他攻擊SolarWinds的黑客組織才最清楚了，因?yàn)榇蟛糠职踩珡S商是沒辦法去找Solar Winds進(jìn)行溯源取證分析的，所以溯源分析也就到此為止了，至于其他的一些什么分析就是純猜測(cè)了，沒啥意義，隨便怎么猜測(cè)都可以，而且就算SolarWinds找專業(yè)的安全廠商進(jìn)行溯源分析，最后的報(bào)告也不會(huì)對(duì)外發(fā)布，黑客的攻擊手法的相關(guān)細(xì)節(jié)也不會(huì)曝光，有些不懂的人還會(huì)說，難倒全球的安全廠商能做的就是這些？是怎么攻擊的，我還是不知道呀，其實(shí)確實(shí)也只能做這些，或者說能報(bào)道的也只能是這些了，更多的溯源分析大部分安全廠商也沒有辦法去做，因?yàn)镾olarWinds沒有找他們溯源，其次就算找到了完整的攻擊鏈，你也看不到報(bào)告，就說到這里了，懂的人自然就懂了。

所有對(duì)外發(fā)布的APT報(bào)告最大的價(jià)值就是品牌宣傳，說白了就是"秀肌肉"，告訴客戶我有能力幫你找到并處理APT攻擊事件，同時(shí)我有APT數(shù)據(jù)，我還有產(chǎn)品能檢測(cè)和防御，我能幫助你發(fā)現(xiàn)企業(yè)中可能存在的APT攻擊事件，因?yàn)楝F(xiàn)在全球還有多少政府或企事業(yè)單位已經(jīng)被黑客攻擊了，無時(shí)無刻不在監(jiān)控和盜取政企的重要數(shù)據(jù)，其實(shí)是未知的，這也是全球的安全廠商做安全的意義，事實(shí)上真實(shí)的客戶APT報(bào)告是不會(huì)對(duì)外發(fā)布的，都是定向發(fā)給客戶的，沒有哪個(gè)安全廠商會(huì)把自己重要客戶的APT事件報(bào)告發(fā)到外面，這樣做沒有任何意義，給客戶保密是安全從業(yè)人員最基本的素養(yǎng)。

APT攻擊解讀

經(jīng)常在一些安全大會(huì)上聽到一些人講APT攻擊，以及APT溯源分析啥的，其實(shí)一些人還沒有搞清楚APT攻擊是啥意思，就在談?wù)揂PT溯源分析，啥是APT都不知道?為什么叫APT?APT攻擊的目的是什么?

啥是APT：APT就是高級(jí)可持續(xù)性威脅攻擊

我們要討論某個(gè)攻擊行為的時(shí)候，為什么稱這類攻擊為APT，其它攻擊不是APT呢：為什么火眼發(fā)現(xiàn)的這個(gè)東西就是APT攻擊事件，并不是因?yàn)樗褂昧斯?yīng)鏈攻擊技術(shù)，供應(yīng)鏈攻擊僅僅是APT攻擊使用的一種高級(jí)技術(shù)，所以供應(yīng)鏈攻擊僅僅是代表了A，僅只有A，是不能叫APT，完整的APT攻擊一定是：A-高級(jí)，使用了一些高級(jí)的攻擊手法，比方供應(yīng)鏈攻擊手法，利用了一些系統(tǒng)或應(yīng)用的0day漏洞，或者使用了很多以前未見過的各種組合攻擊方式等，然后這些僅僅是A，還需要P。

P-持續(xù)性，在黑客組織攻擊成功之后，一定會(huì)在受害者機(jī)器上駐留植入后門，以達(dá)到長(zhǎng)期監(jiān)視受害者，盜取重要數(shù)據(jù)的目的，P就是APT攻擊最后釋放的高端遠(yuǎn)控后門，也稱為APT特馬，一個(gè)高級(jí)特馬的免殺效果在一定程度上決定了一個(gè)APT組織技術(shù)的高低。

只有滿足了這兩點(diǎn)才能叫APT，高級(jí)可持續(xù)性攻擊，很多人其實(shí)并不理解什么是APT，也沒搞清楚APT的本質(zhì)是啥，也不懂為啥叫APT，還有APT的重點(diǎn)是什么？

APT的目的：黑客組織使用一些高級(jí)可持續(xù)的攻擊方法和手段，通過長(zhǎng)期監(jiān)視目標(biāo)，獲得目標(biāo)的重要數(shù)據(jù)，持續(xù)監(jiān)控獲取數(shù)據(jù)是APT的關(guān)鍵，具體強(qiáng)烈的政治和經(jīng)濟(jì)目的。

以后別人再跟你談APT的時(shí)候，你就先問他啥是APT，怎么定義這個(gè)事件是APT的，再跟他聊后面的溯源分析，如果連APT都沒有搞清楚，就沒有必要聊下去了。

我在面試的過程中會(huì)遇到不少人在自己的簡(jiǎn)歷中寫APT啥的，也遇到不少人聊APT，其實(shí)很多人連APT是啥都沒有搞清楚，有些人說APT：使用一些0day漏洞攻擊就說是APT，發(fā)個(gè)釣魚郵件，使用魚叉攻擊，水坑攻擊手法就說是APT，其實(shí)都是不準(zhǔn)確的，這些只能叫APT攻擊的一種手法，使用了這種攻擊手法的安全事件，并不一定就是APT攻擊事件，APT攻擊事件的核心一定要找到P，沒有P(APT特馬)，再高級(jí)的攻擊手法，也只能叫AT事件，這次攻擊事件僅僅是利用了一些高級(jí)手法的威脅事件而已，并不能稱為APT。

APT攻擊思考

我常常說我們做安全就跟當(dāng)警察是一樣的，做安全就是為了保障我們的客戶安全，當(dāng)警察是為了保障人民群眾的安全，我們?cè)诳蛻衄F(xiàn)場(chǎng)溯源分析的過程，就和警察在刑事犯罪現(xiàn)場(chǎng)推理案件的過程是一樣的，警察破案，一切的根本是基于證據(jù)的，沒有證據(jù)，如果一切僅僅都是猜想，猜想是定不了罪的，同時(shí)當(dāng)企業(yè)被黑客攻擊之后，我們需要從客戶的機(jī)器上進(jìn)行溯源分析，獲取相關(guān)的證據(jù)和數(shù)據(jù)，客戶的機(jī)器其實(shí)就是“犯罪現(xiàn)場(chǎng)”，存留在機(jī)器上的樣本就相當(dāng)于受害者的“尸體”，我是很喜歡看刑偵類電視劇的，比方《法證先鋒》《刑事偵緝檔案》《插翅難逃》《神探狄仁杰》《重案六組》《鑒證實(shí)錄》等，基本都看了好幾遍，相信很多朋友也看過，大家可以發(fā)現(xiàn)要想破案的關(guān)鍵因素之一首先就是要保留作案現(xiàn)場(chǎng)，如果作案現(xiàn)場(chǎng)被破壞會(huì)加大破案的難度，同時(shí)最后大家會(huì)發(fā)現(xiàn)，警察一定要找到受害者的“尸體”，不管是不是一具完整的“尸體”，或者僅僅是“尸體”的一些殘留物質(zhì)，找到受害者“尸體”是定罪的關(guān)鍵因素之一，有些極端的犯罪份子會(huì)“毀尸滅跡”，警察會(huì)通過各種技術(shù)手段找到“尸體”殘駭，這種“毀尸滅跡”類型重大刑事案件一般是比較難偵破的，往往需要去收集和尋找更多的證據(jù)，有時(shí)候甚至還需要和犯罪份子打心理戰(zhàn)，通過心理戰(zhàn)突破他的防線，從而破案，但是不管是哪一個(gè)案件，一切都是拿證據(jù)和事實(shí)來定罪的，純憑猜測(cè)是沒有辦法定罪的。

當(dāng)我們?cè)谔幚砜蛻魬?yīng)急響應(yīng)的時(shí)候，存留在客戶機(jī)器上的樣本就是我們要找的“尸體”,只有先找到“尸體”才能定義它為一個(gè)重大的刑事案件，如果連“尸體”都沒有找到，是沒有辦法定義的，從“尸體”中去尋找證據(jù)和答案是最有效也是最直接的方法，首先警察會(huì)將“尸體”移交給專業(yè)的法醫(yī)人員進(jìn)行檢測(cè)和分析，判斷死者的大體死亡日期(樣本的感染時(shí)間),死者的年紀(jì)(樣本的編譯時(shí)間)，死者此前是否有受到過侵犯和死者的死亡原因(樣本的靜態(tài)和動(dòng)態(tài)行為特征)，從這些可以大致判斷犯罪份子大概的行兇時(shí)間(黑客攻擊時(shí)間)，行兇過程以及死者的死亡原因。

APT溯源的關(guān)鍵問題是要有客戶的犯罪現(xiàn)場(chǎng)，如果沒有犯罪現(xiàn)場(chǎng)，一般的安全廠商能做的事就是通過從犯罪現(xiàn)場(chǎng)找到的受害者的“尸體”(樣本)進(jìn)行溯源分析了，所以如果一個(gè)安全廠商又沒有犯罪現(xiàn)場(chǎng)，又沒有拿到受害者的“尸體”(樣本)，就在那里大談溯源分析，APT溯源分析，基本就是純扯淡，這種報(bào)告完全不用看，可以看國(guó)內(nèi)外各大安全廠商發(fā)布的APT報(bào)告，“尸體”(樣本)分析是必不可少的一部分，不管有沒有客戶現(xiàn)場(chǎng)，如果連簡(jiǎn)單的“尸體”(樣本)分析都沒有，就跟能法醫(yī)的報(bào)告都沒有拿到，就幾個(gè)警察在那里推判猜測(cè)，是沒有任何意義的，一切的犯罪都是要基于證據(jù)的，沒有證據(jù)，推論和猜測(cè)就毫無意義了。

APT攻擊溯源

APT攻擊應(yīng)該如何溯源?一定是有什么異常，先從異常入手，不管是多么高端的APT組織一定會(huì)在機(jī)器上駐留信息，因?yàn)檫@是APT的核心之一，沒有P，不能算是APT攻擊，僅僅是AT攻擊或普通的T攻擊，APT攻擊一定是有P的，那我們最好的方式就是從P入手，從而溯源推理出整個(gè)攻擊事件。

P就是“尸體”(樣本)，所有的APT攻擊的最后都會(huì)保留一個(gè)“尸體”(樣本)，這個(gè)“尸體”(樣本)就是P，不同水平的APT組織使用的P的技術(shù)不一樣，判斷是一個(gè)APT組織技術(shù)的高低標(biāo)準(zhǔn)之一就是P能存留多長(zhǎng)時(shí)間不被安全廠商發(fā)現(xiàn)，如果一個(gè)APT組織的P在十年之后都沒有被全球的各安全廠商發(fā)現(xiàn)，那這個(gè)APT組織一定是最厲害的APT組織之一，一般的P的存活時(shí)間不到一天，厲害的一周，更厲害的幾周，幾個(gè)月，頂級(jí)的可以存留幾年甚至更長(zhǎng)時(shí)間不被發(fā)現(xiàn)。

當(dāng)然判斷一個(gè)安全廠商的安全能力的標(biāo)準(zhǔn)也就是發(fā)現(xiàn)P的能力了，不管你用什么方法，管你什么AI，大數(shù)據(jù)，算法等等，只要你能第一時(shí)間發(fā)現(xiàn)客戶機(jī)器上的P，分析出黑客做了什么事，同時(shí)能追蹤到黑客的攻擊手法以及攻擊流程，這就是代表你的安全能力的。

當(dāng)我們拿到P之后，如果想溯源，能做的第一件事情就是分析研究P，這就需要一名經(jīng)驗(yàn)豐富優(yōu)秀的法醫(yī)了，一個(gè)優(yōu)秀的法醫(yī)并不是他的解剖技術(shù)有多好，而且他的經(jīng)驗(yàn)豐富，分析解剖的“尸體”很多，見過的“尸體”更多，一般的“尸體”一個(gè)經(jīng)驗(yàn)豐富的法醫(yī)在很短的時(shí)間內(nèi)就能大概判斷出“尸體”的特征，這和我們?cè)诜治鰳颖镜臅r(shí)候是一樣的，當(dāng)你對(duì)各種不同類型的樣本都很熟悉之后，分析過的樣本越來越多之后，你就會(huì)很快的定位到樣本的關(guān)鍵信息。同樣一名優(yōu)秀的警察也是他的Q法有多準(zhǔn)，而且他的辦案經(jīng)驗(yàn)比較豐富，能快速的推理出案件的關(guān)鍵信息等。

其實(shí)P(樣本)就是APT的核心，沒什么好辯解的，針對(duì)樣本的分析就是APT分析的關(guān)鍵，首先需要從樣本中找到更多有價(jià)值的東西，如果一次APT攻擊事件連樣本都沒有找到，就純猜測(cè)沒啥意義，APT報(bào)告的核心就是對(duì)樣本的分析，如果一篇報(bào)告連基本的樣本都沒有分析清楚，就大談APT攻擊，攻擊手法什么的，就是純扯，就像這次如果火眼不公布樣本，其他廠商能分析啥？推測(cè)啥？其實(shí)啥也不會(huì)知道？APT攻擊過程中黑客能留下的最真在最有價(jià)值的東西就是樣本，樣本也是你能與黑客組織”對(duì)話“最直接的橋梁，所有的一切結(jié)論都是基于樣本分析得出來，然后再通過獲取到更多的樣本數(shù)據(jù)推論出更多的結(jié)論，不然就是純猜測(cè)，沒有任何事實(shí)依據(jù)可言，如果你覺得對(duì)已知或未知的APT事件的樣本逆向分析價(jià)值不大，只能說明一點(diǎn)：你分析的樣本真的太少了，你見過的樣本太少了，你處理的安全攻擊事件太少，你的經(jīng)驗(yàn)不足而已，對(duì)安全的理解不夠深入。

APT溯源分析不是單靠數(shù)據(jù)就能解決的，更多的是需要經(jīng)驗(yàn)豐富的安全人員進(jìn)行定向的取證分析，首先需要有犯罪現(xiàn)場(chǎng)(客戶)，如果沒有犯罪現(xiàn)場(chǎng)(客戶)，就只能通過獲取到的APT事件的“尸體”(樣本)進(jìn)行技術(shù)分析取證，然后再通過自家的數(shù)據(jù)進(jìn)行跟蹤分析了，所以這就是為啥大部分安全廠商對(duì)外發(fā)布的APT事件都是以樣本分析為主的，有些順帶會(huì)寫一些應(yīng)急措施以及相關(guān)的可能受影響的客戶，真實(shí)的APT攻擊事件的客戶溯源以及提供給客戶的APT報(bào)告是一定不會(huì)公開分享的，因?yàn)槔锩鏁?huì)涉及到客戶的重要的數(shù)據(jù)以及客戶產(chǎn)品中重要的安全問題，這種報(bào)告都是定向輸出給客戶的，對(duì)外輸出的APT報(bào)告基本都是為了宣傳自家的安全廠商有這種安全分析能力以及數(shù)據(jù)能力，因?yàn)楫?dāng)真正有客戶找你進(jìn)行APT溯源分析的時(shí)候，才是真正展示一個(gè)廠商安全能力的時(shí)候，其它的時(shí)間都是要練兵，正所謂，養(yǎng)兵千日，用在一時(shí)，平時(shí)沒事的時(shí)候，就是要多去分析樣本，研究漏洞原理，多去熟悉一些常用的黑客攻擊手法，見的多了，經(jīng)驗(yàn)自然就豐富了，如果連樣本都不去分析，常見的漏洞和攻擊手法都不知道有哪些，平時(shí)也沒有機(jī)會(huì)接觸一些APT攻擊事件，那如何鍛煉自己的APT溯源分析能力，如何能快速的定位問題，找到安全攻擊事件的關(guān)鍵信息，就相當(dāng)于一個(gè)法醫(yī)，從來不解剖研究“尸體”，一個(gè)警察從來不去犯罪現(xiàn)場(chǎng)調(diào)查取證，就純靠意淫，或者看看別人的報(bào)告，就憑自己的想象斷案，基本就是扯淡，所以如果你要跟我討論APT溯源什么的，我首先會(huì)問你有沒有抓到APT事件的樣本(P)，有沒有分析過事件中的樣本(P)，從P中找到了什么有價(jià)值的信息沒有，或者有沒有發(fā)現(xiàn)可疑的日志信息(犯罪現(xiàn)場(chǎng))，如果連基本的樣本(P)都沒有拿到，也沒有去犯罪現(xiàn)場(chǎng)(日志信息)分析過，我覺得咱們暫時(shí)沒啥討論的必要，純意淫沒啥價(jià)值，浪費(fèi)時(shí)間和精力。

這里還說一點(diǎn)，就是前面說的APT數(shù)據(jù)，因?yàn)楝F(xiàn)在做安全的人喜歡說數(shù)據(jù)這個(gè)詞，其實(shí)一切都是數(shù)據(jù)，代碼是數(shù)據(jù)，樣本也是數(shù)據(jù)，特征是數(shù)據(jù)，行為也是數(shù)據(jù)，網(wǎng)絡(luò)流量還是數(shù)據(jù)，這一切皆為數(shù)據(jù)，單純的說APT數(shù)據(jù)也是沒有啥意義的，一定要有具體的東西，比方APT 樣本二進(jìn)制代碼數(shù)據(jù)，漏洞規(guī)則數(shù)據(jù)，威脅情報(bào)IOC數(shù)據(jù)，APT攻擊行為數(shù)據(jù)等等，安全廠商能做的事，就是基于現(xiàn)有的APT歷史數(shù)據(jù)和最新的APT事件攻擊樣本，建立APT數(shù)據(jù)庫(kù)，然后關(guān)聯(lián)更多的數(shù)據(jù)，APT數(shù)據(jù)的積累其實(shí)也是一個(gè)平常練兵的過程，因?yàn)楫?dāng)你沒有客戶來找你的時(shí)候，或者你沒有受到APT攻擊的時(shí)候，通過收集和整理之前的一些APT事件的數(shù)據(jù)，形成一個(gè)APT的知識(shí)數(shù)據(jù)庫(kù)，積累自己的辦案經(jīng)驗(yàn)，也是一種方法，這些APT攻擊事件文檔其實(shí)就是警察辦案后的案卷存檔，通過整理這些案卷，進(jìn)行標(biāo)準(zhǔn)化的保存，方便進(jìn)行信息的檢索和關(guān)聯(lián)，從而可以對(duì)案件的證破起到一定的作用，所以現(xiàn)在安全廠商都在進(jìn)行APT相關(guān)數(shù)據(jù)的運(yùn)營(yíng)，APT數(shù)據(jù)的積累是需要一個(gè)長(zhǎng)期的過程的，但這種方式對(duì)一些關(guān)聯(lián)的APT組織是有很大的幫助的，但是對(duì)于一些新型的APT組織幫助不大，不過APT數(shù)據(jù)的收集和整理是必不可少的一部分，這就相當(dāng)于對(duì)全球刑事案件的檔案管理一樣，但僅僅依靠APT數(shù)據(jù)是沒辦法溯源分析最新的APT攻擊事件的，需要專業(yè)的經(jīng)驗(yàn)豐富的安全專家對(duì)客戶進(jìn)行溯源分析，調(diào)查取證。

APT溯源的過程就是一個(gè)警察破案的過程，警察怎么破案的，我們做安全的就怎么去做溯源分析，犯罪現(xiàn)場(chǎng)和受害者人“尸體”是所有重大刑事案件中兩個(gè)最關(guān)鍵的東西，一切的一切都是需要證據(jù)的，沒有證據(jù)，利用什么數(shù)據(jù)來扯淡，一切靠猜想，是沒有任何意義的。

如果一個(gè)人跟你說基于AI技術(shù)、大數(shù)據(jù)技術(shù)，還有其他啥技術(shù)，就可以分析檢測(cè)未知APT攻擊，基本可以斷定這個(gè)人是不懂APT的，可能連APT是啥都不知道，任何高級(jí)安全威脅事件的溯源分析，都不能僅僅依靠產(chǎn)品或者數(shù)據(jù)，實(shí)戰(zhàn)經(jīng)驗(yàn)豐富的安全從業(yè)人員是必不可少的，只有這些經(jīng)驗(yàn)豐富的安全人員才最了解黑客，更別說是一些高端未知APT攻擊了。

總結(jié)

未來網(wǎng)絡(luò)安全事件，一定是以定向攻擊為主的，同時(shí)APT攻擊手法也一定為成為未來安全攻擊的主流，通過APT攻擊獲取國(guó)家政企業(yè)重要的數(shù)據(jù)，并長(zhǎng)期對(duì)國(guó)家政企業(yè)進(jìn)行監(jiān)控，達(dá)到黑客組織攻擊的目的。

好了，就寫到這里了吧，真正深入研究并理解安全的人，一看就明白了，看不懂的人，也沒辦法，就踏踏實(shí)實(shí)花時(shí)間多去研究安全，提升一下自己的安全能力和對(duì)安全的理解，再多經(jīng)歷一些事情，經(jīng)歷多了自然就明白了，說真的，雖然現(xiàn)在很多人做安全，但并不是每個(gè)做安全的人都懂安全，也并不是每個(gè)做APT研究的人都懂APT，一些人說使用什么產(chǎn)品就能檢測(cè)APT，利用什么算法就能檢測(cè)APT啥的，這些都是基于已有的APT數(shù)據(jù)進(jìn)行檢測(cè)，真正的未知APT攻擊事件，基于現(xiàn)在這些已知的數(shù)據(jù)肯定是檢測(cè)不出來，不管你用什么算法，你有什么數(shù)據(jù)，基本都沒用，真實(shí)的只有當(dāng)APT事件真實(shí)發(fā)生之后，有某些異常產(chǎn)生，然后再通過經(jīng)驗(yàn)豐富的安全研究人員基于這些異常所在的環(huán)境對(duì)異常進(jìn)行跟蹤溯源分析之后，確認(rèn)為APT攻擊事件，再快速應(yīng)響，最大限度的幫助客戶減少因?yàn)锳PT攻擊事件造成的重大損失，只有真正接觸過很多客戶真實(shí)APT攻擊案例，做過很多客戶重大安全應(yīng)急響應(yīng)溯源分析，并且經(jīng)驗(yàn)豐富的基礎(chǔ)安全研究人員才是發(fā)現(xiàn)APT攻擊事件的關(guān)鍵，這是一種非常強(qiáng)的安全分析研究能力，這種能力并不是一朝一夕能達(dá)到的，需要經(jīng)過長(zhǎng)時(shí)間的訓(xùn)練，那么針對(duì)以后可能發(fā)生的一些未知的APT攻擊事件，我們?nèi)绾文芸焖侔l(fā)現(xiàn)，以及我們現(xiàn)在能做什么呢？其實(shí)很簡(jiǎn)單，就是不斷的積累安全分析與研究經(jīng)驗(yàn)，以后當(dāng)別人跟你討論安全，或者跟你討論APT的時(shí)候，你首先要判斷的是這個(gè)人值不值得你花時(shí)間去跟他深度的探討一些問題，如果大家都不在一個(gè)層次，對(duì)安全的理解都不在一個(gè)層次，點(diǎn)到為止即可，安全的路還很長(zhǎng)，不管未來時(shí)代怎么發(fā)展，不管平臺(tái)如何變化，框架如何更新，概念如何炒作，安全問題總是會(huì)一直存在，可能不同的時(shí)代表現(xiàn)形式不一樣吧了，安全是一個(gè)過程，并不是開發(fā)個(gè)什么新平臺(tái)，推出什么新產(chǎn)品就完事了的，是需要長(zhǎng)期的運(yùn)營(yíng)的，而且隨著現(xiàn)在國(guó)際形勢(shì)的發(fā)展，未來這種定向有目的未知的黑客組織發(fā)起的APT高級(jí)攻擊事件在國(guó)與國(guó)，企業(yè)與企業(yè)之間會(huì)越來越多，安全發(fā)展的這么多年，你會(huì)發(fā)現(xiàn)其實(shí)核心的東西其實(shí)一直沒有變，做為一名安全從業(yè)人員，只需要做到：堅(jiān)持，不忘初心。