360详解美国网络攻击西工大流程，「看见」风险是重中之重

近日，中国国家计算机病毒应急处理中心和 360 公司披露的《西北工业大学遭受美国 NSA 网络攻击调查报告（之二）》详细解读了美国 NSA 下属的「特定入侵行动办公室」（TAO）攻击渗透西北工业大学的流程。从中可以发现，面对国家级黑客对手发起的网络攻击行为，最重要的是解决「看不见」安全风险的卡脖子问题，360 建议各大政企单位采用 APT 攻击快速排查与处置和 APT 全面系统化防治方案，解决「看不见」的核心痛点。

报告显示，TAO 对他国发起的网络攻击战术针对性强，此次针对西北工业大学的网络攻击，采用单点突破、级联渗透的方式，控制了西北工业大学网络。随后通过隐蔽驻留、「合法」监控的方式，窃取核心运维数据，随即搜集身份验证数据、攻击渗透通讯基础设施企业，构建了对基础设施运营商核心数据网络远程访问的「合法」通道，实现了对中国基础设施的渗透控制，最终实施用户数据窃取，其中包含一批中国境内敏感身份人员信息。

通过对攻击流程的还原，可以看到此次事件具有组织规划缜密、攻击链条复杂的特点，通过网络上多个节点作为跳板层层渗透，持续潜伏。同时，TAO 十分重视攻击的隐蔽性，用隐蔽驻留的方式达到长期获取情报数据的目标。报告详细解释了 TAO 在攻击过程中隐蔽驻留的方式，「TAO 将作战行动掩护武器『坚忍外科医生』与远程控制木马 NOPEN 配合使用，实现进程、文件和操作行为的全面『隐身』，长期隐蔽控制西北工业大学的运维管理服务器，同时采取替换 3 个原系统文件和 3 类系统日志的方式，消痕隐身，规避溯源」。

面对美国 NSA 长期以来针对我国政府、企业、高校、医疗机构等发起的网络攻击行为，360 推出安全大脑-APT 攻击快速排查与处置急救箱，帮助各单位第一时间对 APT 展开快速排查和处置。同时，推出以「看见」为核心的安全大脑-APT 全面系统化防治红宝书，帮助各单位逐步建立强大的感知能力、快速的看见能力、快速的处置能力，能在攻击做出破坏之前及时斩断「杀伤链」，变事后发现为事前捕获，真正实现感知风险、看见威胁、抵御攻击。

而在「看见」安全风险这个领域，360 过去 20 年，投入 200 亿，聚集超 2000 名安全专家，积累了 2000PB 安全大数据，围绕 360 全网数字安全大脑建立了一套以「看见+处置」为核心的安全运营服务体系，形成了「看见」全网态势、「看见」国家级攻击的强大能力。截至目前，360 累计发现 50 个国家级 APT 组织，占国内行业约 98%，捕获攻击能力全球领先。