網(wǎng)絡(luò)間諜組織數(shù)不勝數(shù)，但根據(jù)威脅追蹤人員的調(diào)查，這幫家伙的真正水平往往遠(yuǎn)低于其顯赫的惡名。

卡巴斯基實(shí)驗(yàn)室全球研究主管Costin Raiu做出估算，稱單在中國(guó)就存在約一百到兩百個(gè)黑客團(tuán)隊(duì)。

盡管關(guān)于零日攻擊的炒作永不停歇，但大部分成功的攻擊所依賴的其實(shí)仍然是基礎(chǔ)手段，例如利用用戶疏于更新補(bǔ)丁的壞習(xí)慣或者其它常見(jiàn)安全失誤，Raiu在本屆RSA歐洲大會(huì)的一次小組討論中表示。

“大部分攻擊雖然能夠得手，但卻并沒(méi)有涉及什么先進(jìn)技術(shù)，”Raiu指出。“攻擊者們往往會(huì)從最常見(jiàn)的起點(diǎn)入手，順勢(shì)達(dá)成自己的邪惡目的。”

“除非別無(wú)選擇，否則他們?cè)诠暨^(guò)程中絕不會(huì)優(yōu)先考慮使用零日漏洞，”他補(bǔ)充道。

AlienVault實(shí)驗(yàn)室主任Jaime Blasco也表示，與其跟高級(jí)持續(xù)性威脅攻擊等行業(yè)術(shù)語(yǔ)糾纏不清，不如從最有效、最基本的層面出發(fā)更有意義。

Blasco指出：“不同的黑客組織擁有不同的技能水平和不同的攻擊意圖，”他同時(shí)補(bǔ)充稱，臭名昭著的APT1小組雖然大獲成功，但其“技能水平并不高”。

歐洲刑警組織(一個(gè)國(guó)際警察機(jī)構(gòu))網(wǎng)絡(luò)犯罪部門組長(zhǎng)Jaap van Oss也表示，犯罪領(lǐng)域中的各類專業(yè)技能水平與由國(guó)家贊助的黑客組織并無(wú)多大差別。

Websense公司信息安全與戰(zhàn)略官Neil Thacker指出，高級(jí)持續(xù)性威脅“幫助我們獲得項(xiàng)目預(yù)算”。Thacker的工作性質(zhì)與角色定位類似于外部企業(yè)當(dāng)中的CISO一職。

這四位安全從業(yè)人員在本周二RSA歐洲大會(huì)上題為《沖破炒作迷霧，揭露高級(jí)持續(xù)性威脅的真面目》的小組討論上發(fā)表了上述意見(jiàn)。

Thacker補(bǔ)充道，盡管每個(gè)人都希望APT攻擊的具體來(lái)源，但歸屬地分析的難度實(shí)在很高。“每個(gè)人都希望弄清楚是誰(shuí)在發(fā)動(dòng)攻擊，但歸屬信息可沒(méi)那么容易得到，”Thacker表示。

Raiu還提到，很多并非來(lái)自中國(guó)的惡意團(tuán)伙會(huì)通過(guò)注冊(cè)并租用中國(guó)域名的方式偽裝自身來(lái)源，從而引導(dǎo)追蹤人士誤入歧途。“他們會(huì)在沒(méi)有接入互聯(lián)網(wǎng)的虛擬機(jī)上打開被盜的文件，從而避免暴露自己的行跡，”他補(bǔ)充道。

對(duì)攻擊者進(jìn)行“反黑(主動(dòng)防御)”也是應(yīng)對(duì)網(wǎng)絡(luò)間諜活動(dòng)的一種可行方案。舉例來(lái)說(shuō)，這可能涉及到破壞系統(tǒng)與特定攻擊之間的鏈接。不過(guò)主講人們對(duì)這樣的思維表示擔(dān)憂。“要想獲得更理想的安全保護(hù)，我們確實(shí)需要強(qiáng)悍的防御機(jī)制，但法律不允許我們這樣做，”Thacker表示。

所有與會(huì)者都同意，安全事故永遠(yuǎn)不可能被徹底消滅，因此最好的解決辦法在于快速檢測(cè)惡意軟件攻擊并在造成嚴(yán)格損害之前對(duì)被突破的系統(tǒng)進(jìn)行隔離。我們無(wú)法擊敗攻擊者，但卻“可以分析他們、了解他們所使用的技術(shù)與工具，從而在安全事故出現(xiàn)之前就打造出理想的響應(yīng)機(jī)制，”Blasco這樣表述自己的意見(jiàn)。

絕大多數(shù)(90%到95%)攻擊活動(dòng)都會(huì)涉及一部分社會(huì)工程內(nèi)容，例如釣魚攻擊——欺騙用戶在虛假網(wǎng)站上輸入自己的密碼。

在很多安全事故當(dāng)中我們都會(huì)發(fā)現(xiàn)共通的狀況，其中包括未安裝殺毒軟件的Win XP設(shè)備、每一位用戶都以管理員權(quán)限使用著未及時(shí)更新補(bǔ)丁的操作系統(tǒng)等。