近期熱播的《羋月傳》講述的是中國(guó)歷史上第一位太后的成長(zhǎng)歷程—這就是歷史上的秦國(guó)宣太后。但是史書(shū)上并沒(méi)有記載這位太后的名字，只是說(shuō)她姓羋。那“羋月”這個(gè)名字就是編劇隨便起的嘍?并不是。羋月這個(gè)名字來(lái)自秦兵馬俑身上的一處刻字。但是兵馬俑不是秦始皇的陪葬嗎?為什么上面會(huì)刻著他高祖母的名字?信息收集理由如下：

1、兵馬俑中出土了一件呂不韋造的青銅戈，但是出土位置比兵馬俑土坑高幾十厘米，根據(jù)墓穴中灰塵累計(jì)速度來(lái)看相當(dāng)于累積了50年的塵土，往前推50年正好是秦宣太后建造陪葬墓的年代。

2、兵馬俑的發(fā)髻都是歪在頭的右邊，為楚國(guó)人的習(xí)慣。

[[158920]][[158921]]

3、兵馬俑身上刻字有：“羋月”二字，秦國(guó)姓羋并且有資格享有兵馬俑的，只有宣太后了。

如上述這些看似不相干卻又環(huán)環(huán)相扣的資料史實(shí)得出了得出了秦兵馬俑是秦宣太后的，而秦宣太后的名字是“羋月”的結(jié)論。當(dāng)然，上述理由只是推測(cè)，兵馬俑的主人屬于秦始皇的說(shuō)法還是主流意見(jiàn)。

我們這些看客，除了看看熱鬧，也可以了解下APT(高級(jí)持續(xù)性威脅Advanced Persistent Threat)攻擊的信息收集，猜測(cè)下看似和攻擊無(wú)關(guān)聯(lián)的個(gè)人和企業(yè)的信息收集，對(duì)完成黑客的APT攻擊有哪些幫助?其實(shí)信息收集是貫穿在APT攻擊的整個(gè)攻擊鏈中，在本文里討論在APT攻擊前期的對(duì)個(gè)人信息收集方式、作用以及防御措施。

用戶個(gè)人信息收集---提高惡意郵件成功率

在APT攻擊中，惡意軟件或者鏈接不會(huì)像普通攻擊模式采用遍地撒網(wǎng)的模式，而是會(huì)采用精確的釣魚(yú)模式，因此對(duì)選定用戶的了解是APT攻擊的前奏。由于社交媒體的發(fā)展，不論是從公開(kāi)的渠道或者通過(guò)某些地下渠道，對(duì)個(gè)人信息的收集在現(xiàn)代社會(huì)是相當(dāng)方便，例如通過(guò)Facebook，可以搜索姓名、出生日期及人際網(wǎng)絡(luò);而Twitter很容易獲取用戶的興趣和追隨者;Linkedin上很容易獲得個(gè)人的工作履歷和教育背景等等，通過(guò)多種渠道信息收集，很容易勾畫(huà)出這些用戶的完善的信息。不管怎么說(shuō)，這比從距今2200多年的兵馬俑身上找線索要更加方便和易于獲取。

這些個(gè)人信息的獲取，是為了釣魚(yú)郵件的主題和內(nèi)容更貼近用戶的喜好，提高惡意郵件的成功率。

用戶終端信息收集---精確攻擊的前提

為了使得入侵滲透更加隱蔽，在APT攻擊中，采用的惡意軟件經(jīng)常采用定制的模式，而這個(gè)定制的前提是要對(duì)選擇的用戶終端信息要了如指掌。通過(guò)采用釣魚(yú)收集信息的方式也大行其道，攻擊者通發(fā)送一個(gè)正常并且內(nèi)容和對(duì)方愛(ài)好一致的網(wǎng)頁(yè)鏈接，用戶打開(kāi)后看到的也是一個(gè)正常的和自己愛(ài)好一致的網(wǎng)頁(yè)，但是

1、 利用URL參數(shù)，攻擊者可以標(biāo)記關(guān)聯(lián)的人，利用瀏覽器本身支持的功能可以收集用戶使用的操作系統(tǒng)、瀏覽器和版本的信息，甚至還可以利用創(chuàng)建對(duì)象和路徑加載探測(cè)技術(shù)，準(zhǔn)確判定跳板安裝的各種應(yīng)用環(huán)境，特別是安全防護(hù)軟件和本地應(yīng)用。

2、 在攻擊過(guò)程中，攻擊者同樣會(huì)采用多種手段收集目標(biāo)企業(yè)的IT信息，包括使用的軟件類型、網(wǎng)絡(luò)架構(gòu)、IP地址、web服務(wù)器信息、虛擬機(jī)信息以及硬件類型等等。

用戶終端信息的收集，是可以用來(lái)指導(dǎo)攻擊者開(kāi)發(fā)精確攻擊和繞開(kāi)常規(guī)檢測(cè)的惡意軟件。

如何防御信息收集---人的安全意識(shí)最重要!

在APT攻擊中， 很難防護(hù)黑客組織對(duì)信息的收集，一方面是由于這個(gè)過(guò)程基本是悄無(wú)聲息，另一方面是這些信息不受控制，用戶不僅隨時(shí)隨地的把個(gè)人相關(guān)信息發(fā)布在社交媒體上，甚至還將公司的一些敏感信息發(fā)布在公開(kāi)的媒體上，這使得信息收集過(guò)程快速而有效。這也體現(xiàn)了在安全領(lǐng)域，其實(shí)最重要的安全要素是“人”，只有人的整體安全意識(shí)得到提高，對(duì)攻擊的防御才會(huì)更有效，黑客的攻擊成本才會(huì)大幅度的提高。可見(jiàn)周期性的加強(qiáng)對(duì)員工安全意識(shí)培訓(xùn)，提高用戶安全意識(shí)是防御任何攻擊的第一道防線，在對(duì)抗APT攻擊中，人的安全意識(shí)尤為重要。

在用戶提高網(wǎng)絡(luò)信息安全意識(shí)的同時(shí)，華為CIS大數(shù)據(jù)安全威脅檢測(cè)系統(tǒng)，能實(shí)現(xiàn)秒級(jí)智能檢測(cè)異常行為，從而實(shí)現(xiàn)精確預(yù)警，有效的縮小了檢測(cè)與響應(yīng)的時(shí)間窗，能顯著的降低攻擊損失，有效發(fā)現(xiàn)APT攻擊的感染路徑和感染設(shè)備，最終通過(guò)終端探針，實(shí)現(xiàn)快速清除風(fēng)險(xiǎn)，一鍵自動(dòng)隔離和修復(fù)感染終端。

防御不能100%完美，APT攻擊也不可能100%完美偽裝，CIS也是要在海量的信息中找到APT攻擊的短板，進(jìn)而挖掘整個(gè)攻擊鏈的信息，從而有效的實(shí)現(xiàn)對(duì)APT攻擊進(jìn)行檢測(cè)。華為CIS大數(shù)據(jù)安全威脅檢測(cè)系統(tǒng)，能在收集存儲(chǔ)全網(wǎng)流量的元數(shù)據(jù)的基礎(chǔ)上，以威脅情報(bào)為輔助，對(duì)實(shí)時(shí)的和歷史的數(shù)據(jù)進(jìn)行分析，這種檢測(cè)模式，不側(cè)重依賴于APT攻擊鏈中任何一個(gè)環(huán)節(jié)，但是只要APT攻擊在任何一個(gè)環(huán)節(jié)有紕漏，都能保證有效的被檢測(cè)。在檢測(cè)到APT攻擊后，通過(guò)安全專家的參入，能生成有效的威脅情報(bào)，通過(guò)共享機(jī)制，將威脅情報(bào)共享給全網(wǎng)的安全設(shè)備，實(shí)現(xiàn)動(dòng)態(tài)防御，提高安全管理效率，增強(qiáng)APT防御能力。