APT的攻擊事件從2009年開始曝光(實際上APT攻擊在多年前就已經發生)，逐漸被全世界所認識。首先是2009年公布的“極光門”事件，黑客通過APT手段滲透進了Google的內網，控制了服務器，對敏感的郵件進行篩選并竊取了大量的機密信息。最后美國政府調查并聲稱，不僅是Google，一共有30多家美國高科技公司被同一伙人用同樣手法入侵，竊取了大量的信息。

在2010年的時候，發生了一個真正的世界級的APT攻擊，就是伊朗的核電站被震網病毒攻擊，導致離心機超速運轉并損毀。2011年，知名的網絡安全公司——RSA公司被專業的黑客滲透進去，竊取了部分客戶的身份認證信息，攻擊者利用這些信息再去滲透美國最大的軍火承包商的系統，竊取相應的敏感信息。2012年，美國NASA的實驗室被黑客用APT的手法入侵，竊取了大量的最先進的技術資料。

這些受害單位包括頂級的IT公司、頂級的安全公司、國家最頂級的機密公司，為什么他們都被黑客輕易的滲透，沒有攔住這樣的攻擊?是他們的安全做的不好嗎?如果他們的安全都做的不好，還有哪個單位比他們做的更好，我們能夠阻擋住這樣的APT攻擊嗎?

實際上我們需要考慮IT環境到底發生了怎樣的變化。隨著網絡的發展，網絡上的資產不斷在變化，我們的對手也不斷變得更加專業，更加有組織，更加有資產，攻擊也變得更加的專業。有些人說是不是只有重要的機構、涉及國計民生的行業和大型組織才需要擔憂APT攻擊呢?理論上來說APT攻擊確實只針對這三種目標，但并不意味著不會攻擊中小型組織、企業和個人，因為大型企業有供應鏈，實際上它很多的產品也是靠中小企業來提供的，我們重要的信息資產實際上一般也是由個人來掌握、讀取的。攻擊者可以通過搞定你相信的人，再來搞定你;可以通過搞定供應鏈上的一個小企業，再來搞定大型企業，所以說所有人都可能成為APT攻擊的目標，當然他最終鎖定的價值目標可能是大的團體。

APT攻擊產生了什么樣的危害呢?目前國內沒有相應的評估，我們可以看一下美國的評估。今年一月份，在國會的聽證會上，美國參議員的評估損失是，美國每年數字資產的損失高達3000億美金，占美國GDP的2%，這個數字可能不是很準確，但離事實也不遠。

是不是只有美國才遭受了這種威脅，只有美國才在擔心這種威脅，而我們只是旁觀者呢?實際情況并不是這樣，有一些案例可以和大家分享一下。一個案例就是針對國內一個很大的IT公司來發起的。攻擊者首先調研了公司的主管，然后給這些選定的IT主管發送了一封郵件，郵件里面有URL，說這個地址里面有很多最新的、國內最先進的免費技術資料，你可以上來看。這些主管當然很高興，就上去看。里面也確實有很多免費的、好的技術資料，但這個網站呢同時還做一件事，這件事并不是種植木馬。用戶登錄該網站，網站就知道這個郵箱賬戶使用了什么操作系統、瀏覽器的版本，上面的JAVA是什么版本，甚至他還探測到用戶是否安裝了殺毒軟件，安裝了哪些殺毒軟件、安全軟件。這樣攻擊者就掌握了大量的受害目標的主機應用、應用版本，裝了哪些防護軟件等信息。攻擊者可能掌握了一個IE9的零日漏洞，同時又做了一個木馬，能夠控制360軟件，那么電腦上裝有這兩個軟件的用戶就成攻擊者下一步的選定目標。于是這樣的用戶就中了招，電腦被植入木馬被攻擊者控制。攻擊者再用受害者的身份去攻擊公司的總裁，比如說科研主管向總裁提交報告的時候，在這個報告中再嵌入基于漏洞攻擊的代碼，那么總裁也就很容易中招。而控制了總裁的電腦之后，就從中獲得了大量的公司商業機密或技術機密信息，最后攻擊者把這些信息發給了國外某政府。

另一個案例是針對國內一個科研院所的攻擊。攻擊者知道了郵件系統管理人員的一個郵箱，并給這個郵箱發了一個釣魚郵件，其中包含一個觸發漏洞的PDF文件。管理人員打開郵件中，觸發漏洞，主機被植入木馬。攻擊者利用所控制的管理人員的主機，獲得了內部郵件的權限，然后攻擊者使用領導的郵件賬戶身份，發送郵件給內部專家，讓他們提交相應的科研技術資料。部分專家將保密資料發到了領導的郵箱，但是這時領導的郵箱實際上被攻擊者控制著，攻擊者將涉密資料轉發到外部郵箱，竊取了資料。