幹掉APT的是人不是技術

“掌握原則的人可以成功選擇自己的方法。嘗試方法而忽略原則的人，麻煩就在前方。”——愛默生(美國作家)罪犯、間諜、競爭者、激進分子……為什麼網路對手們總能成功詐騙、勒索、竊取情報、大肆破壞?政府、公司和研究所都把精力放到這上面了，但問題依然存在。

網路安全技術毫無建樹地發展了幾年之後，希望開始渺茫，資料告訴我們：技術不是解決方案。問題依然存在的原因，在於技術本身不是問題，人才是。但人同時也是解決方案。

網路對手的相對資訊優勢讓他們佔據了上風。相對資訊優勢意味著對手瞭解目標的程度，比目標瞭解對手的程度要高。正如知曉銀行佈局、攝像頭位置、警衛輪班制度的銀行劫匪總能繞過這些安全措施一樣。資訊優勢對網路對手的上風位置至關重要。

在資訊優勢戰中，網路防禦者處於不利地位。技術開發者必須公開推銷和交易他們的產品、解決方案，網路對手能夠輕易獲得相關資訊，對這些產品、解決方案進行逆向。

同時，被鎖定的公司企業必須向合法使用者公開他們的網際網路基礎設施，網路對手也就得以祕密研發工具，從地球另一端的隱祕位置發起攻擊，切換基礎設施、攻擊和通訊。因此，網路防禦者通常難以足夠快速地收集、分析、散佈威脅情報，難以獲得或保持相對資訊優勢。

為達到預測和對抗網路對手的目的，防禦者必須理解攻擊性網路間諜情報技術。2011年，作為第一款網路對手行為模型，“網路殺傷鏈”模型被提出，防禦者能夠藉此專注在安全措施上。

時至今日，網路對手已然進化，防禦者迫切需要更加高階複雜的行為模型。攻擊性網路間諜情報技術分類(OCT2)模型便應運而生。

OCT2模型

OCT2模型描述了高階持續性威脅(APT)行動中網路對手採用的戰法和技術。採用OCT2模型，防禦者可以將基本原則思考方法應用到預測對手行為和設計、實現對策上來。網路戰中最強力的技術就是人類思維。網路安全技術是網路防禦的基礎;然而，網路安全行業和普羅大眾必須小心不過分依賴技術來解決問題。

網路對手都是些能夠適應環境改變的人，無論物理上的變遷還是數字上進步，他們都能快速適應並掌握要點。因而，防禦者也要能利用相同的適應能力來對抗，乃至超越網路對手。一切都是人的問題，因而，解決問題也必然要靠人類本身。

本文轉自d1net（轉載）