历史攻击事件

历史攻击事件用于建立真实威胁直觉。 学习别人踩过的坑，是理解攻击者目标、企业失守路径和组织响应缺口的高效方式。

规模化的安全团队并不能保证免于基础漏洞的侵害。 Equifax 拥有上百人的网络安全团队，有完备的情报和应急机制，最终仍因一个 Nday 漏洞的应急遗漏酿成大规模数据泄露，导致高管引咎辞职和巨额赔款。 有流程、有团队，并不等于有执行；情报到位，并不等于修复到位。

攻击者一旦比防守方更了解自己的系统，就已经占据了主动权。 开曼国家银行和信托公司遭入侵后，攻击者潜伏数月，深度学习内部正常转账流程，再以极难区分的方式模拟操作盗取资金。 能识别"与正常行为的偏差"，才是发现此类攻击的唯一前提。

顶尖科技公司同样在网络安全上踩过坑，吃过亏。 这些事件涵盖了几乎所有主要攻击类型：接口滥用、浏览器 0day、iMessage 零交互 RCE、供应链投毒、勒索软件、内鬼、数据窃取和资金盗取。攻击者的目标、路径和手法差异极大，没有任何单一防线能覆盖全部。

• Cambridge Analytic 滥用 Facebook 接口采集海量用户资料数据进行分析并出售。
• Aurora：攻击者通过多个可造成 RCE 的 0day 漏洞（Oracle Java/IE/Firefox），将漏洞植入有特定访问人群的网站，甚至通过广告精准投放给特定人群，实现访问特定网页即可感染。
• Operation Triangulation：收到一条包含附件的 iMessage 消息，无需任何交互即可触发 RCE，接着利用其它漏洞进行权限提升和维持，再下载功能齐全的恶意软件，之后删除附件和原始消息。
• 供应链攻击（SolarWinds）：入侵某家大范围被使用的软件公司，控制其更新服务器，将更新包替换为存在后门的，数千个使用该软件的企业因此被控制。
• LockBit：通过钓鱼邮件以及 0day/Nday 漏洞（Fortinet/Citrix等）突破边界，进行感染以及自传播。通过窃取加密、威胁披露泄漏数据、DDoS等多重方式勒索赎金。
• 内鬼/入职：业内曾出现多起将公司内部查询敏感数据的权限对外出售的情况，不仅限于企业，在部分政府单位也存在类似问题。同时还存在通过入职成为外包的方式，获取数据查询权限，甚至将自己电脑作为跳板直接将内网开放给外部访问。
• 资金窃取：多家全球银行被入侵后遭受大额资金盗取，国内亦有多起支付公司和 P2P 平台因弱口令或业务逻辑漏洞被盗取大额资金的案例，银行内部研发、运维人员通过篡改应用逻辑、木马或密钥等方式窃取大额资金的情形也有案可查。
• 查看更多历史真实发生的网络安全事件

正确认识真实安全事件背后攻击者的实力

了解对手的技术深度，是防御决策的前提。 如果对攻击者的真实能力缺乏认知，防御投入的优先级就会系统性错位——把资源集中在应对低级威胁，而对真正危险的攻击手法毫无准备。以顶级 APT 组织的实际能力为参照，才能校准"够用"的防御究竟意味着什么。

以 Equation Group（方程式组织）为例，其武器库的深度远超一般安全团队的预期。 该组织持续十余年建设网络攻击能力，攻击并控制了数十个国家的大量目标设备。其技术特点体现在三个层面：

社工是进入目标网络的标准路径。 通过邮件、聊天工具等渠道，伪装成可信联系人，诱导目标打开含木马的链接或文件。即使是定向行业的广撒网式投放，也能以较低成本控制大量机器，为后续深度渗透提供跳板。

GrayFish 代表了在操作系统层面实现完全无痕驻留的能力。 该恶意软件运行在 Windows 注册表中，不落地任何可执行文件，依赖 bootkit 启动，任何执行阶段失败都会触发自毁。敏感数据储存于基于注册表构建的虚拟加密文件系统，并借助第三方合法签名驱动执行任意命令。更进一步，它通过重写硬盘驱动器固件实现持久化，使得格式化和重装操作系统之后恶意软件仍然存活。这意味着传统的"重装系统"已不再是有效的清除手段。

Fanny/Stuxnet 解决了攻击物理隔离网络这一看似不可能的问题。 通过在 .LNK 文件中嵌入恶意代码，U 盘插入即可自动感染电脑，无需自动运行功能开启。收集到的数据存入 U 盘隐藏区域，一旦该 U 盘后续接触到有互联网权限的机器，数据自动上传，新指令自动下载，再通过下次插入目标机器完成执行。气隙网络因此成为可被反复利用的数据中转通道。

这些技术代表的是十余年前的能力基线，而顶级 APT 组织的攻击能力只会随时间持续积累。 当前活跃的国家级和犯罪级高级组织，已在漏洞储备、定制植入物开发、基础设施对抗溯源等方面具备了更为成熟的体系化能力。认识到这一点，才能理解为什么单点防御思路在面对此类对手时会系统性失效。