“间谍”即情报人员，《孙子兵法》中把间谍分为“五间”：因间(敌国的乡民)，内间(敌国的官员)，反间(本来是敌国的间谍，为我所用)，死间(向敌方提供假情况，事发后被敌方处死的人)，生间(完成任务后活着返回的人)。间谍在古时就已经被运用在军事战争中间，用来刺探敌情的重要情报信息。

如今，在信息化应用不断加深的当下，间谍不再单纯的指人类身体范围的活动，在网络普及全球的今天，出现了一种破坏性的新“间谍”，它神秘的并且有针对性的进行长期蛰伏，不断收集各种信息，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施中的敏感信息。其中APT攻击属于一种高持续性威胁的网络间谍，APT攻击其潜伏时间长，隐秘性高，成为最不易发现的网络间谍之一。

APT攻击的最大特征包括具有潜伏性、持续性、锁定特定目标、安装远程控制工具等方面。

(1)潜伏性：这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物，所以这种APT攻击模式，实质上是一种“恶意商业间谍威胁”。

(2)持续性：由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。在此期间，这种“持续性”体现在攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏。

(3)锁定特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为，针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信，取得在计算机植入恶意软件的机会。

(4)安装远程控制工具：攻击者建立一个类似僵尸网络Botnet的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据，利用加密的方式外传。

以上是APT攻击的具体特征，不过，APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，利用这些漏洞组建攻击者所需的网络，并利用0day漏洞进行攻击。

APT属于长期持续攻击，以下收录了已知的APT攻击的相关案例，几乎每个案例都是以年来计算单位的，真实的突出了APT攻击的长期性和有准备性。

(1)2006年—2011年的“暗鼠行动”

暗鼠行动在2006年启动，长达五年的攻击过程中，共袭击全球72个公司和组织的网络，其中包括政府、联合国、红十字会、武器、能源、金融等多方面。

(2)2007年—2011年的“夜龙攻击”

美国《华尔街日报》曾在2011年2月10日报道，5家跨国能源公司遭到黑客有组织、隐蔽并且有针对性的攻击，据悉，超过千字节的敏感信息被盗，包括油气田操作的机密信息、项目融资与投标文件等，McAfee的报告称这场网络间谍攻击可能最早开始于2007年。

(3)2009年—2010年的“极光行动”

据悉，极光行动是在2009年12月中旬的一场网络攻击，直至2012年的1月12日Google披露了遭到极光攻击的事件，并且报道称还有超过20家公司也遭到了类似攻击。此次攻击通过Google雇员的凭证成功渗透到Google邮件服务器，不断获取特定Gmail账户的邮件内容信息长达数月之久。

(4)2011年的超级病毒攻击

2010年7月超级工厂病毒利用微软操作系统中3个全新的零日漏洞展开攻击，此次超级工厂病毒攻击是第一个直接破坏现实世界中工业基础设施的恶意代码，塞克铁门曾统计，全球60%受害主机在伊朗境内，伊朗政府也曾确认其布什尔核电站遭到攻击。

2015年6月11日，全世界领先的安全公司卡巴斯基表示也遭受了APT攻击，并且长达数月。并称“攻击非常之高端复杂，这是一种新一代的很可能为国家支持的恶意软件。如果用好莱坞电影来比喻，它就是一种外星人、终结者和铁血战士的混合体。”由此可见APT攻击的可怕性之大严重性之高。卡巴斯基安全专家的分析显示，这是一起精心策划和实施的网络间谍行动，其幕后黑手就是2011年臭名昭著的Duqu背后组织。卡巴斯基认为，该攻击行动受到了政府的支持。攻击者的主要目的在于监视卡巴斯基的技术、最新研究以及内部流程。

卡巴斯基实验室全球研究和分析团队总监Costin Raiu曾表示：“Duqu幕后的攻击者是目前发现的技术最为先进，同时也是最为强大的APT攻击组织之一。他们会想尽一切办法避免被发现。”这种高度复杂的攻击最多可以利用三种零日漏洞，这一点令人印象深刻，而且其成本必然非常高。为了保证不被发现，恶意软件只驻留在系统内核内存，所以反恶意软件解决方案很难检测出来。该恶意软件还不会直接连接命令和控制服务器接收指令。而是通过安装恶意驱动感染网络网关和防火墙，让内部网络和攻击者的命令和控制服务器之间通讯全部通过代理进行传输。

据悉，根据卡巴斯基所掌握的情况判断，出于类似的地缘政治利益，Duqu 2.0还被用于攻击一些高层目标。为清除这一威胁，卡巴斯基实验室进行了初步安全审计和分析，通过Securelist公开发布了有关Duqu 2.0的所有技术详情，并且愿意向所有感兴趣/受此影响的组织提供帮助。目前，审计仍在进行中，并将于几周后完成。此外，卡巴斯基实验室已经联系了多个国家的网络安全组织部门，正式要求对这次攻击进行刑事调查。

卡巴斯基决定把这次针对自己公司的APT攻击事件披露出来，希望更多的人可以意识到网络安全的重要性，加入到网络安全防范工作中来，因为要想对抗网络攻击，企业必须透明，一味沉默的话就会被一个接一个的干掉。

尽管网络攻击早已经成为网络安全领域一大公害，但是多数互联网企业面对网络攻击通常都不愿意公开承认。总体的总结了一下几个方面的原因：

1、 信誉方面：

互联网企业一旦遭遇攻击并且公开自己受到了这方面的侵害，会对互联网的用户群造成恐慌，尤其是关于企业信誉方面，会让用户丧失对企业的信心，企业的信誉方面会收到严重的影响，只今年5月份支付宝遇到的故障问题，虽说其最终原因并不是遭到攻击产生损害，仅仅只有两个小时就影响了大批支付宝用户，万幸中是支付宝数据没有损坏，所以后续善后工作处理的并不会太麻烦，支付宝方面没有接到关于资金丢失的反馈。影响一部分用户对继续使用支付宝的热情。

2、 资金方面：

我们往深处想，如果，支付宝不能做到对互联网攻击的各种防御，支付宝将会以亿为计量单位来评估它的可损失额。这不仅对支付宝本身造成大的创伤，也对长期以来支付宝用户造成严重的后果，据我所知，身边的亲朋好友有许多人的全部资金都存放在支付宝里面，每月的工资都直接转存宇额宝，支付宝方面面对这样把全部财产都存进去的风险，一旦出现网络安全方面的问题，支付宝和用户方面的资金又将会何去何从呢?

3、 客户群方面：

一旦互联网企业公开遭受网络攻击，不仅意味着将丧失大量的资金投入，还将意味着他们将丢掉企业的命根子——用户，没有用户的网络公司就是一个空洞的躯壳，根本没有能力生存。用户是互联网存在的最基本也是最重要的部分，现在满大街都能看到各种二维码，就是为了方便客户扫描并下载他们的业务客户端。这只是一个开端而已，企业会放出各种诱饵，比如，送饮料，赠送小礼品，赠送现金优惠券!这些都是企业拉拢用户的惯用招数。企业损失小方面的利益却得到了大方面的利益—用户。这每一位用户都是企业辛辛苦苦花费心思赢取来的用户，然而，只要企业出现一次终端方面的差错，用户就会丧失对企业的关注，删掉APP等也是轻而易举的事情。那么这些用户就付诸东流了。

以上这些情况，看似都在针对互联网公司，他们的命脉都在这些方面上，但是除了互联网企业其他企业就不需要网络保护吗?答案显而易见是错误的。非互联网公司，就业务方面，企业机密信息方面，这些，很少会存在纸媒上，多数都是在电脑上或者硬盘里，如果他们的电脑受到恶意的攻击，公司的关键性信息也将会暴露在危险当中，所以，保障互联网安全刻不容缓，是每一家企业应该做到最基本也是最重要的事情。

就目前看来，公开的承认自己遭到网络攻击会带来如上所述许多负面危害，很多公司也考虑到这方面面临的巨大损失，但是，互联网安全现在都是初步阶段，我们国家已经开始注意到这方面的问题，提倡大家都对互联网危害提防范意识，就《第二届网络安全宣传周》的召开，分别设立启动日、政务日、金融日、电信日、科技日、法治日、青少年日等7个主题日。并且由中央网信办、中央编办、教育部、科技部、工信部、公安部、中国人民银行、新闻出版广电总局、共青团中央、科协十大部门共同主办。不难看出，网络安全已经走上了一个非常重要的位置，小到个体公司，大至国家安全方面，都体现了网络安全的重要性。网络安全需要前进，需要更新，这需要企业面对网络攻击可以公开承认，并且把这些漏洞病毒公之于众，才能吸引更多的有关网络安全方面的人才来共同解决问题。这不仅仅是普通企业应该做到的，那些专注于保障互联网安全的公司也应该做到攻击透明化，虽然他们不愿让其他企业感受到：“一个保障网络安全的公司却连自己的安全都保护不了，又怎么能保障其他公司的安全呢?”这种消极思想，但是这是网络安全发展的必经之路，国家的网络安全也迫切需要得到可靠的网络保护。

就目前的网络安全形势看来，这种思维模式需要改进，而安全公司卡巴斯基的做法就非常好，他作为一个保障网络安全的公司，能够有勇气披露出自公司受到APT攻击，高调的公示出此次事件的详细过程，勇敢的呼吁大家正面网络攻击，没有必要躲躲藏藏，这样才能让那些具有危害的攻击形式披露在大众的面前，能够帮助企业构建更好的防御体系。古语说的“知己知彼，百战不殆;不知彼而知己，一胜一负;知彼，不知己，每战必殆。”这句话用在现下的网络安全领域也非常适合。目前的网络安全系统处在一个不知彼而知己的状态下，所以公司每每遇到网络安全的问题时胜败的可能性各占一半。期望网络安全方面未来的战略是互联网公司和网络安全公司互相合作，在网络攻击的状况下都能敞开自己的问题，双方共同努力去寻找解决的方案，做到知己知彼，百战不殆。而不是有问题时互相藏着掖着怕露出来，如此一来将会阻碍网络安全技术的进一步发展。所以，希望互联网企业和网络安全企业能够实现更加透明公开的信息安全风险通报制度，不论APT攻击危害程度多大，但是只要能够集合广大网络用户的安全资讯和安全技术能力加以应对，就一定会找到解决的办法。

(责任编辑：腰编辑)