习近平同志在2016年网信工作座谈会上明确指出，要在非对称技术、“杀手锏”技术上加强投入，争取取得重大突破，实现从跟跑并跑到并跑领跑的转变。非对称技术、“杀手锏”技术，就是能够在对手掌握优势资源、领先技术的情况下，通过在某一领域建设对手无法克制的技术实力，形成威慑效应，达到安全与平衡。核武器技术就是一类典型的“杀手锏”技术：我们掌握核武器技术后，虽然拥有的核武器数量、技术水平可能仍然与霸权优势国家有所差距，但由于对手也缺少全面有效抵御核打击的手段，各国间就会形成“相互确保毁灭（Mutual Assured Destruction）”的威慑平衡，这样相对落后国家就会获得有效的安全保障。

基于这样的思路，许多业内专家认为，开发“杀手锏”技术，就是要在当前我国网络空间安全技术总体处于弱势地位、技术水平总体落后的情况下，发展更具进攻性的技术手段，开发网络空间的“核武器”，通过打击能力威慑对手，从而在网络空间赢得安全与平衡。这些专家认为，网络空间本身就具有“易攻难守”的非对称特点，归因溯源的技术能力更倾向于一类防御手段，缺少“杀手锏”效应，研发建设的投入产出比不高，因此不妨先让步给进攻性领域的高精尖技术建设。

笔者认为，作出这样的判断，其实质是对当前网络空间安全问题发展形势的误判。网络空间从技术角度来看，确实存在着“易攻难守”的特点：防御者如果期望绝对的安全，必须保证代码不存在任何缺陷；而同样情况下，攻击者却只需要找到任何一个问题就可以攻陷系统。但正如本文从始至终坚持的核心观点所指出的，网络空间攻防的对抗并不仅仅是技术层面的对抗，而是人与人之间、组织与组织之间、国与国之间全方位、体系性、持续性的对抗。在这样的对抗过程中，采取进攻性技术获得的优势，并不一定能转变为整体对抗博弈的胜势；相反的，利用防守手段，做好归因溯源工作，更能将对手行动全面纳入己方掌控之中，这样一方面可以有针对性的部署防护手段，另一方面更可以利用舆论宣传、司法起诉、物理反制等手段发起反击行动，在整体对抗中赢得全面优势。

放到更宏观的层面上看，在攻防的对抗过程中，不止是进攻性技术的发展能够突破原有的威慑平衡，防御性技术的突破同样能够令威慑平衡的天平倾斜。这就好比核威慑领域内出现的反导技术，如果某一核大国能够开发出确保拦截弹道导弹的防御系统，那么这项技术就会转变为核威慑的压倒性优势：只有这一个国家可以肆意使用核导弹威胁其他对手，而其他国家的核武器却无法威胁该国本土。归因溯源技术的发展演进就完全有可能形成如同“反导系统”这样的颠覆性效应。试想全球仅有某一超级大国掌握压倒性优势的归因溯源能力，那么网络空间安全的平衡必将会被打破：该国可以肆意利用网络的隐蔽匿名特点实施对任何国家的网络攻击行动而不必为此承担任何责任；而其他国家一旦对该国网络攻击则马上被归因溯源，进而甚至被该国以网攻、经济、武力等任何形式公然制裁，这样的霸权将何其强大！

正如某国内安全厂商所宣传的口号“未知攻，焉知防”一样，国外归因溯源工作的进展实际是在警示我们“未知防，焉知攻”。如果连对手采取怎样的手段进行归因溯源分析都完全没有准确的认识，我们如果实施进攻行动，岂不是一出手就会落入对手的包围圈与陷阱之中？攻防永远都是一场对抗，当对手已经在不断升级资源与手段的时候，我方如果不能认清己方问题、抓住对手盲点、升级自保措施，采取体系性的方法论组织进攻行动，就必将陷入对抗的被动局面之中。

关于互联网，最著名的俗语莫过于那句“在互联网上，每人知道你是一条狗”。确实，网络空间提供了与现实社会空间相互隔离的机制，互联网的自由开放互联理念也给归因溯源带来了许多直接的挑战：IP地址并不与现实世界的人物或组织直接绑定；各种各样的代理、跳板、VPN等机制使得恶意行为者可以在物理上远隔千里的多地灵活跳转，难以追溯；不可逆的加密技术使得第三方难以获取传输的内容；以TOR为代表的匿名网络技术更是通过层层加密代理的方式试图彻底的藏匿信息的来源地址、对抗任何可能的地址溯源分析。这些都给网络归因溯源引入了许多技术上的难题，也带来了种种不便。这使得许多网络安全业内人士都普遍相信，网络空间的虚拟性导致了归因溯源问题具有极高的技术难度，甚至有专家认为除非互联网基础架构进行改造升级，否则技术上的困难会使得归因溯源成为无法解决的问题。

然而近十年以来的研究与应用实践已经逐步的证明，对网络恶意行为的归因溯源虽然存在种种技术障碍，但总体来说仍然取得了相当令人瞩目的成果，对遏制打击网络攻击行动形成了有效的支撑。这又是因为什么？

总结归纳十余年来在网络恶意行为归因溯源领域的各种成功案例，我们发现这些案例中一方面突出体现了归因溯源分析团队具备先进的网络安全技术基础，另一方面，这些成功的案例都可以说是充分运用了以恶意行为者为中心的分析方法论。

以恶意行为者为中心的分析方法论认为，归因分析人员面临的任务场景下，作为竞争博弈对手的恶意行为者是一切不确定性的根本来源；因此，以恶意行为者为中心进行分析，将证据材料转化为对恶意行为者行为模式的解释，以此描述恶意行为者特征，并基于这些特征挖掘获取新的证据材料、进一步对形成新的特征，最终当这些特征足够丰富、具备足够区分性时，归因溯源过程就可以形成关于恶意行为者身份的分析结论。笼统的来说，ThreatConnect等公司使用的钻石模型（Diamond Model）方法、洛克希德马丁公司提出的杀伤链（Kill Chain）分析方法都可以视作以恶意行为者为中心的分析方法论的一种实例。

在这样的分析方法论指引下，归因溯源问题不再是一个寻找物证的简单技术问题，而是一个攻击者与防御者之间围绕攻击行为特征的对抗问题：攻击者在实施恶意行为的过程中，会采取多种试图混淆其身份特征的混淆、误导、欺骗手段；而防御者就是要综合利用各种取证技术和资源，分析判断己方获得的证据材料，归纳攻击者行为特征，并最终积累形成关于恶意行为者身份的画像，为用户提供满足其需求层级的归因溯源分析报告。

在这样一个攻与防的对抗场景下，从单次对抗的情况看，防御方的归因溯源分析团队是处于劣势地位的，它每次能够收集的信息有限，且还时常受到攻击方的混淆、误导与欺骗；然而在长周期、持续性的重复博弈对抗中，由于防御方在每轮对抗中都能够收集信息积累特征，而作为攻击方的恶意行为者却难以利用同样的方式持续有效的实施误导欺骗，攻击方最终注定在这场长周期的对抗中落败。

意图的暴露：投入巨大的高级威胁行动必然基于更加巨大的利益目标的刺激，而这样的利益目标往往直接暴露了威胁行动的幕后背景与指使者。对攻击过程进行技术性的取证还原通常都能直接发现攻击最终实现的利益目标，从而暴露攻击的意图与可能的幕后指使者。以2016年美国大选中民主党全国委员会DNC遭攻击事件为例，攻击者在DNC被攻击事件中窃取到的大量邮件，又通过DCLeaks及WikiLeaks等渠道最后向公众公布，可以从中推断实施攻击的意图是通过公布这批邮件以影响民主党候选人的选情，因此攻击的幕后主导者极有可能是能够从民主党的败选中获得其期望的政治利益的人或组织。

模式的重复：攻击者虽然具备大量反侦察反跟踪的经验，但其行为模式必然符合人的本性，因此在多次不断重复的攻击行动中，必然会出于提高行动效率、沿用成功经验等原因使用相同或相似的攻击行动模式，从而给归因溯源团队提供跟踪的线索。入侵指标（Indicators of Compromise，IOC）就是典型的利用重复模式识别或追踪攻击者的一种方式，也是最简单常用的一种方式。除此之外，即便是攻击者构造钓鱼邮件时使用的措辞模式与语言习惯、攻击代码变量的命名方式、注释的使用风格等都可能成为识别攻击者的一种重复模式。另一类重要的模式重复是时间性的：在CrowdStrike对2016年DNC黑客攻击事件的分析中，归因溯源团队发现攻击者使用的黑客工具，其编译时间戳均集中在莫斯科当地时间的上午九点到下午五点之间，由于其他证据显示攻击者极有可能来自俄罗斯，这样的行为时间模式显示这些工具的开发者很有可能是以开发这些黑客工具为全职工作，而非自由职业黑客。当然，必须注意的是重复模式亦有可能是攻击者故意设计的欺骗误导信息，这需要归因溯源团队在对抗过程中推断甄别。

人为的疏忽：网络攻击行动往往具有较高的技术难度，同时又伴随着紧迫的任务时间要求，这就造成了攻击者团队经常处于高度的工作压力之下，因此，即便是经验丰富、组织严密、后勤保障条件优越的黑客团队也难免会在重压之下出现疏忽，导致意外留给归因溯源团队重要的分析线索。例如在实施扫描侦察过程中，原本使用了VPN跳板用于隐藏来源IP地址，但由于偶发的网络故障造成VPN中断，而扫描侦察并未停止，这就可能造成真实IP地址被暴露。在FireEye公司2015年对APT30的分析报告中指出，其获得了APT30组织所使用木马的远程控制图形界面工具。这份工具据信来源于APT30控制的中继跳板节点，黑客将这份工具上传到了中继节点的一个开放目录下，其目的可能是便于随时远程下载使用，而这样缺乏安全防护的行为使得FireEye团队通过分析这个工具获得了大量归因溯源线索。

这些正是以FireEye、CrowdStrike等公司为代表的系列归因溯源工作取得令人瞩目成就的关键原因：这些公司的归因溯源分析团队对主要的恶意行为者组织进行了持续的跟踪关注，随着攻击持续进行、防御者不断发现与丰富这些特征，从大量受害者网络中提取关于恶意行为者的线索，积累物证特征，结合不同来源获得的资料关联，在长期的攻防过程中建立起对高级威胁组织的特征档案。在这样一个逐渐积累的过程中，针对这些威胁组织的归因溯源就变得越来越简单而有成效了。

互联网的开放互联属性使得归因溯源本质上困难而不可行，这一错误认识，其根源是只单纯从技术层面看问题，而忽视了归因溯源问题的对抗本质。单纯从技术层面看，归因溯源的对抗中，恶意行为者确实具备较为显著的博弈优势，归因溯源难以成功；但考虑到非技术层面的因素，在长期、持续对抗的场景下，归因溯源团队通过不断积累恶意行为者的特征，最终是可以实现对恶意行为者的归因溯源的。这就如同美国电影里执法调查机构与连环杀手，虽然凶残狡诈的连环杀手总有种种手段隐藏自己的真实身份，但通过多起案件中拼接起来的线索，调查者们最终总能够还原出完整的拼图，将连环杀手绳之以法。

大部分关心网络空间安全的业内人士，感受到美国人在网络归因溯源方面强大能力带来的震撼，大都源于2014年FBI对61398部队五名军官的起诉通缉。这份起诉材料、以及之前Mandiant公司发布的APT1分析报告，基于Mandiant团队深厚的技术实力、先进的分析手段以及以FBI为代表的美国司法、情报机构强大的司法调查资源优势，充分综合利用各类数据资源，给出了针对被告的完整证据材料，证据链坚实可靠，可以说是归因溯源的典范案例教材。与之类似的，美司法部2016年对伊朗黑客的起诉、2018年两次对俄罗斯涉选举网络干预行动的起诉都是这样强大的套路：网络攻击的受害方配合网络安全服务企业，结合司法取证资源，最终建立坚实可靠的证据链条，将攻击行动发起者公之于众。

但这些案例同时却也给许多国人留下了深刻的印象：即归因溯源就是要给出强有力且准确的证据链，要能够经得起法庭辩论式的质疑。正是这样的刻板印象，使得大批网络安全行业从业者在归因溯源问题上止步不前：以企业安全团队、安全服务提供商所具备的技术与资源掌控能力来看，要完成如此全面、详尽、在法庭辩论上亦完全站得住脚的归因溯源任务确实太过困难。这样的回避态度也进一步助长了网络攻击受害者们的侥幸心态：既然反正也没法归因溯源找到攻击者，那也就干脆别再认真检查取证了，发现被攻击了就直接给设备断网、格盘、恢复。长此以往，攻击者越来越肆无忌惮，通过不断的尝试练习发展出越来越巧妙的攻击技术与手法；而防御者则永远处在被动位置，距离“构建完整证据链”的归因溯源终极目标越来越遥远。

事实上，“构建完整证据链”固然是一种理想的、终极的归因溯源结果，但归因溯源绝不应该仅仅被视为这一结果，也不仅仅包括这一种形式。

首先，归因溯源并不仅仅是最终提供可作为司法证据使用的一系列完整证据链材料这一结果，而更多的应该是收集各种能观察到的数据材料、对材料进行丰富完善、对证据进行分析、对收集与分析过程进行表达展示的完整过程。当攻击事件发生时，从受害者的设备上，可以利用取证手段获得各种数据材料；基于这些数据材料，防御者可以进一步挖掘丰富完善证据；结合猜测、推理等各种手段发现可能指向攻击者的关联线索；最后，根据证据材料和关联线索，防御者可以形成一个阶段性的分析报告，这份报告中可以对归因溯源的证据材料和分析推理过程进行清晰有逻辑的陈述，对归因溯源的证据准确性和分析置信度进行客观的评估，最终为攻击受害者提供研判参考。

另一方面，根据用户与使用场景的不同需求，归因溯源也应该具有多种不同层次。不同类型的用户能够掌控的用于归因溯源的资源是不一样的，对归因溯源的目标与期望也是不一样的。举例来说，一家遭到DDoS攻击的网络公司，其归因溯源的首要目标可能是找到DDoS攻击的来源网段地址、DDoS组织的行为模式特征，以便于其实施DDoS拦截防护手段；而针对同样的攻击事件，如果已经涉及犯罪，当执法机关介入调查后，警方与检方的归因溯源目标就是要找到实施DDoS行动的组织或个人，对其采取司法强制措施。同样在这个案例中，受害网络公司与执法部门拥有的调查资源也是显然不一样的，受害网络公司通常只能通过采集己方的网络流量进行技术分析，而执法机构在取得调查授权的前提下，一方面可以对运营商骨干网络、网关节点上的DDoS流量进行技术分析，另一方面还可以通过公开信息、现场执法调查、甚至审讯等方式获取关于DDoS攻击者的证据材料。资源、目标上的差异决定了归因溯源任务并非总是要寻找“终极的完整证据链”，而更多的是应该考虑最有效的满足用户的需求，为用户快速合理应对网络攻击事件提供直接的支持。

“归因溯源问题就是要建立坚实可信的司法证据链”这一错误认识，本质上源于对归因溯源问题性质的误解：归因溯源问题并不仅仅是简单的从技术上罗列证据与结论，而更应该是一个基于理性思考的情报分析过程，并应当成为固化于网络事件应对流程中的必不可少的一个环节。

在攻防双方对抗性的场景假设下，攻击者必然尝试用种种方式伪装身份、藏匿可用的证据信息，防御者只能获得有限的信息与资源，要想判断攻击行动的真实源头，防御者必然面临着判断的不确定性；归因溯源的过程，就是要根据防御者/归因溯源分析者所拥有的证据材料与资源，尽可能的消解不确定性，提供分析判断结论，为防御者提供应对决策参考。只有尽可能利用归因溯源分析了解作为对手的攻击者情况，防御者才能对攻击行动进行更合理应对，而不再是只能死守己方阵地的无头苍蝇。有了这个正确认识，对网络运营者而言，归因溯源问题就应该纳入在遭遇攻击事件时的第一梯次响应方案，成为网络安全服务产业优先发展的技术选项。

黑客圈里的朋友应该大抵都听说过PHDays安全大会。PHDays全名Positive Hacking Days，是由俄罗斯网络安全企业Positive Technology冠名主办的全球性网络安全会议。PHDays自2011年开始每年举办一届，影响日趋盛大，会议云集了来自全球各国与俄罗斯本土的网络安全专家，每年都有大量高质量的网络安全技术内容在会议上发表公布，其组织的CTF竞技赛也堪称全球水平和声望最高的CTF赛事之一。CTF领域最为著名的CMU的PPP战队就曾多次参与PHDays的CTF比赛，并多次取得冠军。

这样一场高水平的黑客盛会，又是俄罗斯本土举办的活动，自然吸引了俄罗斯国内网络安全界黑白两道各路高人的广泛关注。从目前可以获得的公开资料来了，这也是7月份被美国司法部曝光的GRU成员们为数不多的公开露面之一。

根据The Daily Beast的报道，7月份被美国司法部起诉的12名GRU军官中，隶属于26165部队的Pavel Vyacheslavovich Yershov和Dmitriy Sergeyevich Badin曾经参加2014年和2015年的PHDays会议。根据司法部的起诉书，这两位都是具体组织实施包括邮件钓鱼、鱼叉式网络攻击的骨干人员。他们来参加PHDays这样的安全会议，相信一方面是来学习了解网络安全的最新技术手段，另一方面也是为了物色招募专业人才，壮大自身队伍。

GRU 26165部队大门，图片源自网络公开信息

当然，不止是PHDays这样的网络安全会议，事实上，当7月13日美司法部对俄罗斯黑客的公布之后，任何与这十二名GRU军官相关的信息都成为了各方媒体炒作的热点，自由欧洲电台（Radio Free Europe/Radio Liberty）在7月19日就对涉及起诉书的各种线索进行了全面的梳理分析。通过起诉书内容和各种公开资料查询工具，这份报道找到了起诉书涉及的GRU几处办公场所的照片、多名军官的简历分析、以及可能与这些军官及GRU相关的其他组织、著名公众人物等。

GRU 74455部队大楼，图片源自谷歌街景

毫无疑问，从美方掌握的证据材料的详尽程度来看，司法部和FBI不仅仅是利用了上述的这些公开信息以寻找人员线索。大部分专家都认为美方可能利用了包括信号情报、网络攻击反制、以及人力情报等多种手段综合获得了关于这十二名被起诉军官的全面详尽资料。

然而，哪怕是只有公开信息渠道，我们也可以分析整理出许多关于这批GRU军官的大量信息。事实上，互联网的出现，使得我们有越来越多的信息经由各种公开途径散布在网络空间，而要想完全屏蔽这些信息实现个人的隐匿，将越来越成为一项“不可能的任务”。对于分析人员来说，开拓关联分析思路，充分利用网络公开信息渠道资源，将对APT归因溯源等任务提供有力的支撑保障。

这些疑似政治干预相关的专页，在被删除前共计花费了约1.1万美元购买投放了150项推广广告，总共吸引了超过29万粉丝，其自2017年5月发起了约30场活动，其中影响最大的活动吸引了4700名用户关注，约1400名粉丝表示有意参与。就在被删除之前，一个名为“抵抗者（Resisters）”的专页还在发起一项计划于2018年8月10日-12日在华盛顿举行的抗议活动，同时为活动招募线下志愿者。

招募抗议活动的专页

扎克伯格参加国会听证会

尽管Facebook称根据已经向执法机构、国会通报提交的现有证据尚无法证实行动的幕后主使者，但是从其官方网站首席安全官Alex Stamos文章中提供的一些分析细节来看，Facebook已经在暗示，今年二月被美国司法部起诉的俄罗斯水军机构IRA或与这次行动存在显著关联。

Facebook在新闻中强调，建立这些专页与帐号的组织者，相比两年前针对总统大选中同样利用Facebook开展虚假煽动宣传的俄罗斯机构IRA（Internet Research Agency，该机构于今年2月被美司法部起诉），他们花费了更大的精力尝试隐藏其真实身份。这可能部分归功于2018年以来的司法部在“通俄门”调查中发起的两件对俄公民与机构人员的起诉所引发的威慑效应，同时也归功于Facebook公司在面对公众指责质疑后采取的一系列防止滥用政策。这些努力已经使得外国势力更难以投放可能影响美国选民的广告或组织相关推广活动了。

那么问题来了：这些“主动政治干预行动”的组织者，已经提高了警惕防范意识，花费更大精力隐藏其身份，而Facebook又是如何分析出有价值的线索端倪的呢？

Facebook首席安全官Alex Stamos

首席安全官Alex Stamos的文章中对此给出了解释。当然，他首先仍然是强调相比针对2016大选调查中关于俄罗斯水军机构IRA介入干预的指责，目前针对这批帐号的分析结论仍然不够准确不够全面，因此还需要包括研究机构、执法机构帮助进一步运用各类资源挖掘线索，最终实现对恶意行为者的归因溯源（Attributing）。

归因溯源（Attributing），是指将已观察到的活动关联到特定的威胁行为者的过程。特别是放到追踪网络空间恶意行为这一问题时，归因溯源应当遵循何种标准，美国学界、情报界在过去多年进行了十分激烈但最终卓有成效的争论（未来本公众号的推送中，将分别介绍其中一些经典的观点、报告与论文）。这些争论中形成的观点、方法，也成为了本次事件中Facebook的安全分析人员进行归因溯源的标准参考。

对于Facebook当前面临的情况，Facebook的安全分析人员的首要挑战就是希望明确归因溯源过程最终应追责到的实体类型。毫无疑问，指责用于注册恶意账户的IP地址的所有者这样的简单技术是不可靠的。相反的，安全分析人员尝试的是：

明确归因溯源的目标后，真正进行分析的过程中必然会使用多种分析方法。这些分析方法在过往的学术著作、报告、论文中同样汗牛充栋，但在Facebook的实践中，Alex Stamos称他们主要使用了四种归因模型：

基于上述的归因溯源框架，Facebook对发现的专页和帐号进行了归因溯源分析，Alex Stamos得出的主要结论观点包括：

Facebook对此次网络政治干预行动的披露及相关的归因溯源分析，对于我们尝试开展归因溯源分析工作，其实同样是一个很好学习案例范本。Alex Stamos的文章，对归因溯源的基本框架、模型方法、案例事件都进行了框架性的介绍。从中不难看出，归因溯源并不是多么高深神秘不可测的天顶星科技，而是一套由批判性思维方法支撑的分析体系。在美国网络安全与情报执法领域，这一套体系已经经过多年发展，积累了大量的实践经验和理论成果。未来本公众号的文章推送中，也将逐步向各位读者陆续推介，欢迎各位持续关注。

有兴趣进一步了解Alex Stamos这篇文章的，请自行搜索“How Much Can Companies Know About Who’s Behind Cyber Threats?”（需科学上网）。

APT，即高级持续性威胁（Advanced Persistent Threat），是最早由美国空军的一些网络安全分析师所创造出来的术语。在2005-2006年左右，网络安全形势出现了一些微妙的变化：一方面是越来越多的攻击者开始注意到各种高价值的网络攻击目标（商业机密、知识产权、虚拟资产、军事情报等）；另一方面，各类机构的网络安全防护能力也逐渐开始提升，商业化的边界防护设备、入侵检测设备成为常规配置，攻击成功的难度和成本变得越来越高。在这样的背景下，一类目的高度明确、行动组织严密、资源投入巨大、隐蔽持续较长时间的网络攻击逐渐出现并成为网络威胁的主要形式，这样的攻击就被称为高级持续性威胁（APT）。

震网病毒（Stuxnet）可以说是最早、最典型、最成功的APT攻击行动，它实际上是美国及其盟国共同实施的所谓“奥运会行动（Operation Olympic Games）”的组成部分。这项行动，最早从2006年开始实施，然而直至2010年6月才被发现痕迹，在最终被清除前威胁行动持续了至少四年左右时间；该计划成本投入巨大，仅在震网病毒中所使用到的四个未公开零日漏洞（0day，指攻击者掌握但公众尚未了解且尚无修补防范手段的漏洞），在黑市上就价值上百万美元；通过数年隐秘的行动，美方情报机构达到了顺利潜入伊朗纳坦兹铀浓缩设备控制网络并最终破坏设备的目的，伊朗核计划进程因此推迟了一年半到两年时间，可以说实现了极高的战略与战术价值。

在震网病毒被发现后，全球网络安全机构对其进行了广泛深入的分析研究，几乎所有人都将嫌疑目标指向对伊朗核计划恨之入骨的美国、以色列。然而直到2012年有美国政府内部人士向纽约时报提供匿名爆料，才证实了震网确系由美国政府批准的网络秘密行动。而且，至今为止伊朗及其盟友们也无法完整的复盘震网病毒是如何潜入纳坦兹的流程，也无法找到美、以情报人员留下的痕迹线索。这正是APT攻击高度隐蔽性的典型体现。

可以说，参与“震网病毒”和“奥运会行动”的CIA、NSA及以色列情报机构的8200部队正是实施高级可持续威胁APT这项技术的始作俑者和集大成者。在此之后，“奥运会行动”犹如打开了一个潘多拉魔盒：各种类型的犯罪组织、势力团伙、甚至国家级军情机构，看到了APT这种网络攻击形式可能带来的巨大利益诱惑，同时又发现被溯源归罪的风险极低，纷纷尝试用APT的方法开展网络攻击行动。

在这样一个群魔乱舞的情形下，美国作为全球网络化程度最高、网络技术应用最为普及、也是全球经济最富强发达的国家，自然而然的也就成为过去十年里全球APT攻击的重灾区。然而，不要忘记美国才是这项法门的鼻祖，在这深受其害的十年间通过产业界、政府、执法情报机构等各方与各类APT组织的对抗，美国也自然而然的成为了全球在防范对抗APT技术方面的最强者。

从2013年2月曼迪昂特公司（Mandiant，现已被FireEye公司收购）发布APT1报告开始，直至本月美国司法部起诉GRU的12名军官（被认为属于APT28，也称Fancy Bear），从五年多时间以来美方公布的各种渠道公开信息都清晰的昭示：美国的网络安全产业界及执法情报机构，已经积累形成了一整套行之有效的网络攻击追踪溯源方法，其对抗能力水平、资源掌控情况总体而言显著高于其主要对手。也就是说，在这样的对抗形势之下，对手势力一旦试图向美国机构发起APT攻击行动，就有较大几率被美方机构发现；在作战战线与行动周期不断拉长的情况下，攻击者最终几乎必然暴露目标、被美方机构追踪溯源。可以说，美方通过建立这样的技术优势，已经基本上可以实现对国家级行为体的“网络威慑”目的。

而反观我国，在国际形势微妙复杂、国际竞争对抗日趋激烈的现实之下，毫无疑问，我们应当假定的事实是对我国的高级持续性网络攻击威胁形势必将越来越复杂；而从最近这几年的实践情况来看，除了疑似来自东南亚某国的“海莲花”（OceanLotus）、以及疑似来自南亚某国的“白象”（Dropping Elephant，也称Patchwork），我们几乎没有看到有来自我国的安全研究机构独立发现的对中国实施APT攻击的组织。这样的矛盾情况，我只能得出一个悲观的解释：在风平浪静的海面之下，还有不计其数的对华APT组织在潜伏行动，而我们对此却一无所知。

这正是本人开设这个公众号的初衷所在。从过去十年以FireEye、CrowdStrike等公司为代表的成功案例以及他们发布的各类研究报告中可以看到，APT的跟踪分析，并非高深莫测的技术，而是全局协调的工作机制、科学理性的分析方法加上锲而不舍的钻研精神。希望通过这个公众号，将他们的成功经验传播分享给有志从事这一行当的同行者，让我们劈开海浪，抓住大鱼。