《请君入瓮——APT攻防指南之兵不厌诈》目录—导读

版权声明
请君入瓮——APT攻防指南之兵不厌诈
Sean Bodmer, Dr. Max Kilger, Gregory Carpenter and Jade Jones

Reverse Deception: Organized Cyber Threat Counter-Exploitation

ISBN:978-0071772495

Copyright © 2012by McGraw-Hill Education.

All Rights reserved. No part of this publication may be reproduced or transmitted in any form or by any means, electronic or mechanical, including without limitation photocopying, recording, taping, or any database, information or retrieval system, without the prior written permission of the publisher.

This authorized Chinese translation edition is jointly published by McGraw-Hill Education and Posts & Telecom Press.This edition is authorized for sale in the People's Republic of China only, excluding Hong Kong, Macao SAR and Taiwan.

Copyright © 2014 by McGraw-Hill EducationandPosts & Telecom Press.

版权所有。未经出版人事先书面许可，对本出版物的任何部分不得以任何方式或途径复制或传播，包括但不限于复印、录制、录音，或通过任何数据库、信息或可检索的系统。

本授权中文简体字翻译版由麦格劳-希尔（亚洲）教育出版公司和人民邮电出版社合作出版。此版本经授权仅限在中华人民共和国境内（不包括香港特别行政区、澳门特别行政区和台湾）销售。

版权© 2014由麦格劳-希尔（亚洲）教育出版公司与人民邮电出版社所有。

本书封面贴有McGraw-Hill Education公司防伪标签，无标签者不得销售。

北京市版权局著作权合同登记号：01-2012-9284

内容提要
请君入瓮——APT攻防指南之兵不厌诈
本书以全新的视角为读者解释了现在（或将来）会面对的持续性攻击，融合了针对APT（Advanced Persistent Threat，高级持续性威胁）攻击的各种实践方案、工具、技战术，以及作者多年来总结的经验智慧，旨在为网络正在遭受APT攻击或网络存在潜在攻击威胁的用户提供各种应对之策。

本书共分为3个部分。第1部分介绍了用于网络领域的传统军事欺骗和反间谍技术，介绍了欺骗的历史、网络战与反间谍时代的兴起、反间谍工作的技战术以及重要性等概念性知识。第2部分讨论了防御威胁的技术和方法，教读者深层次地研究和应对高水平的入侵事件，使用欺骗和假情报来反击对手，化被动为主动，立即了解网络犯罪行为背后的不同动机。第3部分则通过案例来分析解读高级威胁的应对方法，以及如何验证反间谍行动的风险和效果。

本书涵盖知识面广泛，语言直白风趣，适合信息安全从业人员阅读。

中文版序一
请君入瓮——APT攻防指南之兵不厌诈
敬畏，有时候是安全守望者对攻击者发出的赞叹。一个真正意义的APT攻击作品，站在安全美学或者犯罪美学的角度，甚至可以让许多自负的安全专家产生时空穿越的困惑与惊叹。

从1992年偶尔进入计算机病毒的世界开始游弋信息安全的海洋，时常有柳暗花明的惊喜，却不曾有高坠沉入大海的震荡。直到2010年下半年，APT的第一个划时代样本Stuxnet的非完整分析报告放到我的面前。这时候，我突然想起1993年自己曾写过的一篇校园科技竞赛得了二等奖的论文——关于未来计算机病毒发展的趋势分析与形态预测，因为自己的非专业背景，被计算机系的导师点评为：想象力过于丰富。

2009年IDF实验室在开展下一代远控木马威慑研究的时候，也曾经分析设计过类似的模型，但在实际展开的时候，很快就被其夸张的工作量和环节所困住了。所以，当今天你只是通过搜索引擎得到如下的文字结果的时候：APT（Advanced Persistent Threat）——高级持续性威胁，是指组织（特别是政府）或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的CnC网络。此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。

我相信，你不会有我们当时的那种感觉，虽然今天，Stuxnet、Duqu、Flame的故事或描述会可能会从任何一位可能从没看过样本分析的安全专家口中或PPT中随时蹦出来。但如果你认真问起APT的英语拼写，没准还能抓住一个伪专家，而到社会大众，不知他们第一时间联想到的是否会是：The Asian Poker Tour（亚洲扑克巡回赛）。其实APT真正带来的可能只有两种结果：日益增加的恐惧和日渐习惯的麻木。正如在大海长时间的游泳中你不可能一直保持将口鼻露在水面，一个躬身下潜顺势漂流反而能体会到一种心无旁地的轻松。自从互联网正以融合一切人类科技成果的趋势将这个世界带入真正的数字时代的时候，一个原本自我感觉很好的职业黑客很可能也会突然产生这样的挫折感，无声无息的“绞杀”不知何时何日就会降临，就像一只受惊的鲸鱼发现自己正进入某国科考船的围猎，而此时许多年轻的黑产从业者还在满足于挂马、注入、拖库的金钱游戏。其实这些本来我们在参加IDFENSE的威慑情报防御培训时，看到美国的威慑分析师大量的数据跟踪俄罗斯的RBN网络时就已应该想到，攻击的迭代早已经开始了。

2013年5月在莫斯科参加Positive Hack Days时，虽然有之前APT1报告的喧嚣仍在，但当你回想起美国记者围着上海的一座大厦手舞足蹈，在和世界各国的黑客举杯共饮时，依然感觉世界是美好的。但随着6月斯诺登的香港登陆，仿佛沙丘之城突然崩溃，真实的世界出现了蓝屏。看到这里，你是否还会回想起《黑客帝国》中Neo吃药丸的情景？

也许，当你耐心读完这本由13个章节构成的书就等于是服下了那颗红色的药丸，当然，如果你只是读完我这段啰嗦的文字就将它束之高阁，那么恭喜你，蓝色药丸将继续发挥效应。

To be or not to be, 读下去还是放弃，完全取决于你。

——万涛（Eagle）

IDF互联网威慑情报防御实验室联合创始人
研究方向为云计算安全、威慑情报与社会工程学

中文版序二
请君入瓮——APT攻防指南之兵不厌诈
APT是怎样的与众不同
对于安全工程师和安全企业来说，那些不仅可以让我们惊叹，而且能让我们突然感受到挫败感的威胁，是真正的、伟大的、与众不同的威胁。

对反病毒领域来说，“众”就是或沉睡于反病毒厂商的样本仓库，或依然活跃在用户系统中的那些海量的样本——它们的家族数超过十万，变种数以百万计，而文件HASH数早已过亿。

2010年7月15日，和其他大量样本一样，一个文件被安天后端的分析系统判定为“恶意文件”并且例行输出了检测规则，该文件在那一天没有被任何一个工程师注意到。兄弟厂商卡巴斯基已经开始讨论LNK驱动和签名漏洞，而事实上Virusblokada已经在6月17日上报了这个样本。

几天后，当我们正式决定投入一场马拉松式的分析，来应对这次名为Stuxnet事件的时候，我们发现曾令我们自信和自豪的系统平台，以及那些我们驾轻就熟的分析工具，都仿佛一下陷入了沼泽地带。

我们遇到的第一个问题就是如何分析其作用于WINCC以及PLC的完整机理，并能将其描述清楚。当我们从网上淘来的S7-300货品到来的时候，几乎所有人都是第一次见到这种东西。X86、ARM、MIPS或Cavium，对于传统的反病毒工程师来说，这就是对于硬件架构的全部视野。

类似的问题在后面几个月不断出现，当我们希望将其表现为一个闭环的场景时，一位同事建议购买一台低速离心机来代替传说中的铀分离设备，但手忙脚乱的我们最后还是用一个电炉加烧瓶的温控系统来做替代演示（见下图）。

而细腻又无比恐慌的用户，也提出了卡住我们整整一周的问题，“如果Stuxnet真的如你们分析所说，它具有从U盘感染进入内网的能力，那么为什么你们没有成功重现感染U盘的行为？”

用户所说的“能力”，来自于我们所见到的“建立lnk文件”相关代码，而U盘感染的“行为”，我们实在无法重现。同事们奋战几天后，给出了下列结论：这个文件是否能够传播，与其多个衍生文件中一个名为mdmcpq3.pnf的文件中的7个值有关，它所在偏移分别是0x6c、0x70、0xc8处的标记位，偏移0x78、0x7c处的时间戳和偏移0x80、0x84处的数值，而其中0xc8处默认设置为“不传播”。

这些阻滞，都只是在Stuxnet、Duqu、Flame、Gauss系列APT样本分析中遇到的困难的冰山一角，相对我们后来遇到的一些更高级的困难，这些只是开始。

但这种挫折只会留给安天这样的规模尚小的团队么？我们曾总结过这样一个表格。

当整个业界都是姗姗来迟的、滞后时间以年为单位才能发现这些足以“杀死”一个国家的威胁的时候，挫折感和与之并存的挑战是属于整个业界的。

我们开始注意到，无论是时空还是体量，我们都面对着完全不同的对手，后来我在《寻找APT的关键词》一文中写道，“更长的时间维度；更大的空间跨度，更大的资源调度能力，都导致我们更难接近其本质。”

这是“与众不同”的威胁。

写到这里不免停笔了，我突然发现，这个序言写得过于感性了。当面对来自大洋彼岸的重量级技术专家作者时，我突然觉得，无论是介绍我和团队几年来的开发经验，或重复我过去几年文章、演讲中更多的观点和方法来给本书做注脚；还是像我一贯的那样对本书做一些主观的内容概括和推荐，其实都不免有班门弄斧之嫌。让读者不受先入为主观点的影响去阅读这本力作，或许才是我应该做的。

与此同时，本书的中译本出版，或许有一点特定的象征意义，那是因APT带来的另一种与众不同——由于这种威胁带有强烈的背景色彩，各国网络安全从业者之间、网络安全企业之间的隔膜开始产生，彼此的不信任开始加剧。这一点是我作为一个在反病毒领域学习、工作近20年的老工程师所始料不及的。

全球反病毒工程师长期都是处在一个单价值世界中——只有病毒是我们的敌人。尽管不乏同行间的争论，甚至恶搞，但更多的是，我看到了前辈们在VB大会或者其他场合的亲密无间，不分彼此。

而从大国间2005年开始的相互指责，到“APT1”、“斯诺登”事件等等，终于影响到这种信任的传承。2013年RSA展会上，我们走过通道时，少数国外同行看到我们的肤色后，竟然眼神中充满疑惧，甚至下意识地用身体遮挡演示内容；从“斯诺登”事件后，我也听到大量国内同行的激烈言辞，我感到这种裂痕似乎已经难以弥合。

而2013年年底在上海举行的ISF安全会议上，本书的两位作者Sean Bodmer和Gregory Carpenter本已接受了我的同事Billy和本书的译者之一Archer的邀请，准备到场奉上精彩的报告，但他们却被美国官方禁止来中国参加这次活动。于是，我、Billy和Archer不得不私下吃掉了给两位贵宾准备的点心，以至于我们又增胖了一圈。而幸运的是，在我动笔之际，本书的另一位译者——我的同事SwordLea（李柏松）——即将踏上RSA Conference 2014的旅程，他将与Sean等人开展交流互通。相信这个迟来的握手，可以让同为网络安全研究者的我们，将ISF 2013那次失之交臂的遗憾，转化成愉悦和欣慰。

这个世界上的每个体系，无论强大还是弱小，只要有信息的流动，只要关注事实，都会敏感而恐惧，这或者就是APT时代最严重的后遗症。

前文提到，对于安全工程师和安全企业来说，那些不仅可以让我们惊叹，而且能让我们突然感受到挫败感的威胁，是真正的伟大的威胁。我们前进的动力正来自于惊叹之后的反思和挫败之后的奋起。

——江海客（Seak）

安天实验室首席技术架构师
研究方向为反病毒引擎、恶意代码分析体系等

序
请君入瓮——APT攻防指南之兵不厌诈
锁这种工具，防君子不防小人。

——从良的匿名人士

成王败寇
网络世界是生存的战场，其中的法则只有一条：成王败寇。

本书的主题——欺骗，说到底就是一种虚张声势的演出。“欺骗”可说是这个世界所有生物固有的根深蒂固的本能，也是大家常见的字眼。想必每个人都听闻过体育竞赛的假球、菜市场的假货、飞机上发生的炸弹威胁的讹诈案件，各种欺骗事件层出不穷——我们的世界已经对“欺骗”见怪不怪了。

为什么我们需要特别研究网络世界中的欺骗，到底它与其他领域的欺骗有什么不同？答案就是它自身的特异性、普遍性。在网络世界里，时间与空间的存在感都过于稀薄。几乎没有人能够测量网络入侵所耗费的时间，毕竟网络攻防的速度接近光速度。各种网络安全事故发生在须臾之间，往往不留任何痕迹。即使数据被盗，我们仍然可能被表面现象误导，错误地认为一切都还平安无事。若从另外一个角度来看，网络的快捷特性通常足以否定空间的存在。信息通过网络可以从地球上任意一点“虚拟地”到达到另外一点，电力覆盖多广，网络的范围就有多大；网速有多快，通信（或是盗窃）就有多方便。与复制金条不同，被复制（偷）出来的数据与原有的数据一样完美。偷取数据更不必在物理上接近数据源。

更为讽刺的是，充分利用信息系统高度复杂性的人却是小偷。经过技术上的伪装，小偷能够拥有比多数外行人更高的权限，更多的优势——尽管那些多数的外行人才是网络的合法用户。计算机原理高度复杂，运行在计算机上的程序的模式固定，所以信息系统格外的方便、按步就班、值得信赖；同时它的隐患也就更具危害，信息系统更容易发生被恶意滥用的问题，数据更容易被恶意窃取。

确切地说，合法用户和入侵者都同样地易受欺骗，因为他们使用同样方便、同样按步就班、同样值得信赖的计算机和信息系统。同样条件下的竞争，比的是人的素质，所以只有人才是可欺骗的。诚然，信息系统的互联互通使得系统非常依赖网络，以至于完全独立、不连接外界网络的系统仅在特定的场所和需求下才存在。但是瑕不掩瑜，网络化的优势足以胜过系统被入侵的风险。

计算机指令丝毫不可以模糊，必须非常确切。如果计算机需要与其他计算机通信，所有的计算机就必须遵循同样的通信协议。因此，入侵者也必须使用防御者所使用的协议。当然实际存在多种协议，多类指令集，但是在每个体系内部，它们应该清晰一致，绝对不应该存在歧义。秘密（后门）指令存在的概率永远大于零，但是肯定有人会知道这些秘密的后门是否奏效。这种必要性使得这些秘密指令仅可能存在于网络设备的技术和硬件上。

受保护的网络通常要求访问人员提供认证凭据——通常来说就是某种密码。如果某人没有使用标准凭据还能访问受保护网络中的数据，那么这个人就是小偷。我们往往称呼那些通过非法手段获取访问权限的入侵者为“对手”。

“对手”攻击网络时，通常会利用以下几种常见的人为失误：

未遵循最佳行业安全方案；
未留心各种系统警报；
未能针对用户安全事故准备处理预案和响应流程；
未能合理控制用户的权限。
内部人员如果没有出现问题，别人就不可能成功地欺骗企业的计算机系统。无论是现在还是将来，计算机安全问题都主要以人做为突破点。

在“对手”发起的攻击、入侵计算机网络等各类安全事件中，他们往往施展各种手段诱使用户产生人为失误，而后对这些失误加以利用。对手盯上的数据的价值越高，他们的诱导工作就会出现越强的组织化特点；他们采用的技术手段也更可能从常规技术手段升级到计算机犯罪才用得上的犯罪技巧。

每个内部网络的设计都井然有序，尽管如此，它们最终都要连接到无序的混沌的互联网。有没有可能让我们的网络连接到Internet，同时免受外网糟糕的负面影响呢？在几年以前的某个网络安全会议上，某个参会者抱怨说，在事故频繁发作的互联网上维护网络时，疲于应付各种入侵事件的状态简直就是在冰雹组成的暴风雨里裸奔。他问：“难道就没有办法保护自己的网络么？”另一个参会者回答“没有”。即使在技术上这不是不可能，法律和其他强制规范性约束力1也使得这一梦想不太现实。噩梦在未来可能变成美梦么？只要报纸上还肯说真话，这就不可能发生。

即使网络没有入侵者，并且也不会发生入侵行为，网络本身依然会出现各种问题。毕竟，网络的规模越来越大，网络的结构越来越复杂，网络数据也越来越多。无论构成网络系统的哪个因素发生问题，无论发生的问题有多小，这个问题都会像滚雪球一样越来越大。更头疼的是，这个问题如何发展，最终变成什么样子都没人会清楚。沉淀下来的真相终将失去稳固性。现实中有太多这样的例子。如果真的能够将网络上的内容，从“真”到“假”进行排序，恐怕这个排行榜维持不了多久。

古代的泰国国王曾经说过，“世间的事只分为两类：一类是差不多是那么回事的事，另一类是差不多不是那么回事的事。”2

互联网的技术复杂性和数字世界的内容一直在增长。网络之间的关系是否可能达到无限多种排列组合的状态？是否我们在陷入困境时，才会回过头来开始反思这个问题？每次说起这个话题，我就会想起波士顿大都会运输管理局当年的盲目拓建计划。受之启迪，作家A. J. Deutsch在1950年发表了著名的短篇科幻小说《名为莫比乌斯的地铁》（ A Subway named Meobius）。这篇小说以充满数学色彩的语言，以地铁网络发展到无限大为背景，讲述由此而产生的的各种悲剧3。

无论技术多么完美，人们是否能够将问题问得到位，能否找到正确的信息，能否根据反馈的信息得到正确的结论——所有的事情都根本不能提前下结论。

常常会有所谓的“不可为而为之”的傻事。与这种“不完美的必然性”的正确认识相反，总有人会异常荒谬地去尝试制造所谓完美的容器（即不受入侵影响的信息系统），这会更大程度地刺激他人挑战这种所谓的“完美”。如此周而复生、猫捉老鼠的攻防游戏不停上演，永恒的故事却从始至终还是那一个——骗术上比高低。

说起欺骗，人们总是想首先联想到戏弄和误导。他们认为欺骗的作用在于增加了真实世界固有的不确定性。但是事实并非如此！

正确地说，欺骗并非要戏虐或者误导什么人。无论始作俑者是敌是友，欺骗的目的是占有某种优势地位；毫无疑问，当被欺骗的人明白欺诈者的意图时4，这种目的会很难达成。实际上，欺骗的主体通过单方面的行为来增加客体行为的可预测性；当欺骗得手时，欺骗的客体便处于劣势地位，欺骗的主体在心理上会增加自信心和优越感。

优势会体现为主体的主动权。欺骗行为的最终目标获取主动权，并且充分利用主动地位。

不过，上述说法没有解释“欺骗”的所有特点，还不是欺骗的定义。但是当我们考虑欺骗时，实际上在考虑“主动进行欺骗”或者“防止被对方欺骗”。因此，我们必须考虑以下问题：

欺骗究竟是什么；
为什么欺骗是必然的；
如果采取欺骗在所难免，那么在采取行动之前需要注意哪些问题？
且听下回分解。

欺骗之矛
什么是欺骗？

本书的主题就是研究网络上的欺骗。虽说天不藏奸可是四海皆骗。从生物的进化史来看，欺骗应该是生存和竞争的技术遗产。在生物链上，所有生物都是其他生物捕食的对象，只有充分使用身体素质和头脑智慧的生物才可能幸存下来。大致说来，生存法则大约就这四条：

不要被天敌发现，“藏”身立命；
若没藏好，战略转移；
无路可逃，则应反击；
若上述三条不可能奏效时，则应使用智慧、诉诸诡计——骗。
猪鼻蛇和负鼠以诈死逃生，河豚鼓起身体忍受剧痛只为逃命，最著名的臭鼬有一种世人皆知的本领……书归正传，本书讲述的重点是人、人的理性和计算机网络的欺骗。

欺骗的独特之处在于它要影响对方行为。不可能有人能成功欺诈一个非生命体，对牛弹琴也是徒劳。所以欺骗的特点在于操纵客体的行为，让客体做一些在不理解主体全部意图的时候才会做的事。然而，让客体做某些行为可能还不是主体的实际目的。即使您欺骗得手，让银行经理告诉您保险箱密码了，您还要把钞票搬出保险箱运走，更不要说还要在路上对付很多警察——对于警察来说，他们可能比您还要兴奋！

所以，完整的欺骗有三个组成部分：

定义欺骗的最终状态；
采取行动迫使客体配合全盘计划，至少要让客体不干扰主体的行动；
执行方案，以保护预期的优势地位。
上述三部分就是欺骗的三要素——“定义目标”、“实施欺诈”、“利用优势”。不同时具备这三个要素的计划就称不上是完整的欺骗计划，但可能足够称得上是戏弄、误导或是迷惑。即使三要素齐全，客体仍然可能做一些不可预见或者对整个计划不利的事。除非欺骗的主体有足够的意向和能力将客体设计到计划之中，否则整个实行方案的目的到底是什么？哪里会有好处可图？

单纯的隐藏并算不上欺骗。举例来说，伪装就是一种典型。伪装、隐藏或者变化目标的外观，但是丝毫不会改变猎人的行为。新生的鹿身上就有伪装的斑点并且没有明显气味，对于捕食天敌来说这些伪装尤其有效。所以母鹿可以在看得到幼鹿的地带独自行动。但是在小鹿乱跑或者引起了捕食者的注意时，母鹿就毫无还手之力。那些在地上筑巢的鸟类也有伪装的本领，它们的卵、雏鸟身上有保护色。无论是色彩还是花纹，鸟卵、鸟巢、雏鸟都与背景浑然一体，天敌很难发现一动不动的鸟巢。不仅如此，当捕食者发现幼鸟时，成鸟还会伪装成翅膀折断的样子将天敌引离远离鸟巢。从这些角度看，地上筑巢的鸟类比鹿要高明一些，它们使用的技术更为完整。另外还有一类鸟，它们会直接攻击接近鸟巢的天敌，尽力将它们驱逐；但是这类鸟与前文提到的那类鸟不同，它们不能诱引天敌离开鸟巢。

所以，欺骗的行为是同时牵扯欺骗的主客体双方的连锁行为。假如一个方案只能使客体主观产生对主体有利的信任和想法，不能诱使客体采取有利于主体的行动，那么这个方案还远远算不上欺骗。欺骗的主体有必要预测客体的行为，为这些可能性做好充足的准备，并且制订、执行相应的开发策略以保持必要的优势。

一旦目标或者欺骗的客体按照我们希望的那样，做了我们希望他们要做的事，可以说欺骗的工作算是到位了。当然对手可能对整个故事的真实性有猜疑，他们可能有更多的应对预案5。主体该做的事情，才不会是“辨别客体的信任程度”这类事情。严格的说，主体应当对各种突发情况做好应急预案；无论客体采取何种行动，主体都要完整、持续地保持自己的主动权，确保完成既定目标；客体所做的每件事，都应当能促进他们对主体的信任。

平心而论，主体到底有多大把握能确定对手内心的思想状态？作为主体，依据我们对客体进行的暗示、根据他人的反馈，我们可以确定客体的一些思想状态。但是我们又如何知道客体相信什么、他们打算怎么做、他今天早上还相信的事情会不会被周遭的环境动摇呢？

如果说世界上有一样事物是所有人都能够完全控制的，那么这个事物必定只是行为人自己的行为。无论您在公司内部必须亲力亲为的事情，还是通过他人代办的种种事情，日常生活中完全可控的事情少之又少。作为欺骗的主体，我们只能知道在什么情况下我们该做什么，客体做什么事情之后我们根据预案又该做什么。所以欺骗最重要的就是使客体按照预演的那样乖乖听话！

您可能会说，在不知道对方的思想状态和信任程度的情况下，我们无法知道、无法保证他们会乖乖听话；更有甚者，客体可能自有打算，故意配合我们的方案。这种见解很正确。这也就是为什么主体——同时也更有可能是对手骗局里的客体—必须对自己的方案持有怀疑并且要提前对各种意外情况有应对方案。发起系列行为和事件的欺骗主体，理所应当地要对其自身行为带来的附加风险负责。

纸牌游戏的魔术师在表演失手时常常使用“（扔掉）废牌”原理。“废牌”原理提供了应急的救场手段，也就是现场表演时处理失败的应急预案6。时常发生各种失败，它们还可能相互影响，共同形成另一种意义上的失败。利用技术预测失败发生的时间点和原因，不仅可以弥补已经发生的问题，而且可以另辟蹊径达到圆满的成功。

或许有人会问，“废牌”手段与老生常谈的业务应急计划（contingency plan）有何不同？二者本质上就有显著的区别。应急计划往往是这样的：“我开始应当执行A方案，如果对方采取了预期之外的举动，或者完全拒绝合作，我就执行C计划；否则，对手的行为就在预案A之中，我继续执行A计划就能应付得来。”而所谓的“废牌”理论则是这个样子：“我执行A方案。但是中途对方可能采取其他行为，即B或者B’；相对应的我要执行C或C’方案。但是无论我执行何种方案，我最终将完成A方案。”这种“废牌”理论重视行动方案中可能受实际情况影响而变化的操作点，并且针对这些点做好预备替换的应对方案；这些应对方案使主体最终不受客体的影响，能够达成最初既定目标。如果非要意译或者总结这个理论，到最后主体应当在故事结局的时候会说“最终还是要这个样子嘛，别费力了，亲！”

欺骗由操纵客体行为的全部事件构成。欺骗的主体不必精通技术，他用的骗术甚至可能根本与技术熟练度无关。网络攻防中，诱使客体上钩的决策性因素是客体对目标信息价值的主观判定。渗透方必须获取某些特定的情报才能开始渗透。所以，当对手采集这些必要信息的时候，我们就可以诱导他们，让他们去做南辕北辙的事情。

这个观点最早是由杰弗里·巴卡斯（Geoffrey Barkas）提出来的。巴卡斯是居住在北非的英国伪装专家7。在第二次世界大战期间，德军屡次截获巴卡斯的军事行动计划。在一次德军行动中，一份由巴卡斯设计的较为周密的行动计划被德军缴获。这份行动计划书详细介绍了英国人的行动套路这份被缴计划书就相当于巴卡斯给德军情报特工写的教程。从此之后，德军再也不上同样的当，德国特工也变得越来越难对付。后来，巴卡斯发现到敌军指挥官非常信任他们精干的情报机构。从那之后，当地德军情报机构屡受戏弄，而德军从此进入了醒不来的噩梦8。

巴卡斯发现，情报的刚性需求、按照情报制定相应的行动策略——这两个因素使欺骗有机可乘。想要避免被假情报欺骗，只有不搜集、不使用信息这一条路。只要对方的行动必须依赖信息，那么给他一次假信息，他基本上就上一次当。如果没有情报，冒然行动容易犯错；当然对手也会因此而浮躁。但是没有情报，绝不可能成功展开欺骗行动。没有清晰的既定计划，就不可能有靠谱的欺骗行动。欺骗，是所有竞技活动的本质。

实现数据安全所需的规模、成本和技术手段，取决于各方之间的利害关系。所以在很大程度上，攻防都取决于人而非技术9。

美式足球有一个典型的攻击策略：开场时，四分卫低身起跑，然后对方也起跑。四分卫站起来不慌不忙地穿过对方后卫，在冲刺区接球狂奔以得分。等对手发现四分卫时，为时已晚、胜负已定10。

这个完全符合比赛规则的策略，其实就是众目睽睽之下的战术欺骗。当然，这种攻其不备的战术以对手“不备”为前提——要保证对手不能注意到四分卫的存在和作用。虽然这个战术的成功是个概率问题，但是当条件成熟时它符合所有的欺骗特征。

欺骗，总是在不争得他人的同意下，为了获取自身利益而操纵他人行为。假如对手对这个欺骗方案了解得一清二楚，那么我们完全可以预见这样的后果——对方肯定不会配合。一个人也不会因为无聊而无意识地去骗人，欺骗总有后果。在学术上看，欺骗带来的后果就是暴露主体伤害客体的主观故意。

当然，自我欺骗（自欺欺人）是完全不同的另一回事，是心理学的课题。虽然欺骗行为往往会带来被害人的自我欺骗，但是本书不会讨论这个问题。老话说“风水轮流转”，总会有一天我们自己会被骗，我们也会反省当初欺骗他人的事情。所以，当考虑采取欺骗行动的时候，请慎重。

一个人操纵另外一个人的行为的方法，看上去要多少有多少。

欺骗之的
“欺骗是什么”与“欺骗的目的是什么”是两个不同的话题。“矛”是用来攻击“的”的，但是两者明显不同。这就好像情报学（intelligence）不仅指代信息（情报）本身，它也包括收集、处理、分发信息的课题。欺骗就是操纵客体，以达到主体的某种目的——在拟定的结局中占有优势地位。

利用事故或者破坏规则，同样可以进行欺骗。除去这两种非常规手段之外，渗透方必须披上“被合理授权的通信一方”的外衣，才能实施欺骗。原本没有访问权限的人，必须通过欺骗才能获取访问系统的权限。这个披着羊皮的狼如果是内鬼，故事将很有趣。

欺骗是hack的根本。但欺骗的目的是什么？有些人会说“为了获得网络系统的访问权限”。错倒是没错，但这种说法忽视了欺骗的动机——更深层次在欺骗开始之前就已经存在的并且是最后才会实现的动机。实施欺骗的主体动机很多，他要使客体的行为更为模式化，更符合自己的预期，要在竞争激烈的情况下获得单方面的利益。这里面有很多引伸的含义。例如，欺骗的主体会有意地使用各种手段不断强化他的优越地位。如果没有主观故意和实际获取利益的能力，操纵竞争对手岂不是无利可图？

某些人认为，欺骗的本质是客体对主体的错误信任。这些人的观点认为，欺骗的目标在于使欺骗的客体置身于一种不存在的场景，并相信一种不正确的事实。但是我们认为欺骗的客体相信什么几乎无关紧要。欺骗最具标志性的特点是，客体将按照主体预期的那样进行一系列的行动。在此之后的事情，就只剩下欺骗的主体是否有能力确保他的优势地位，是否有足够能力继续发挥他的优势。

为什么不直接说欺骗的目的是“偷”、“抓”、“截获”信息，或者干脆用军事用语“征服”、“占有”、“毁灭”数据？为什么偏偏执着于虚构一场可能失败甚至被颠覆的计划？

有很多理由，如下所示。

——如果不使用欺骗技术：

坦白很难从宽，直白的询问没有足够的机会获取相应的信息；
可能无从下手；
可能身处劣势，或缺乏手段；
可能因为政治、法律、宗教、种族、社会的种种顾虑而望而却步。
——如果使用欺骗技术：

一朝遭蛇咬的经历会帮助对手防范其他欺骗事件；
（客观上）欺骗对双方都可以达到情报收集的效果，对于客体而言，他们可以增加经验、增强自身防御；主体可为今后的欺骗方案做知识积累。
　欺骗可使对手免责，使得整个事件对当事的行为人无害。
如果所处理事件足够重要，攻击者对这个目标志在必得，那么他会不择手段。他们将会怎么做呢？此处不讨论具体战术问题。确切的说，既然本文重点是操纵对手的行为，我们建议您使用互联网的搜索引擎，搜索自反控制（reflexive control）技术。在海量的搜索结果中，希望您能注意到 Vladimir and Victorina Lefebvre的报告，文章名为“Reflexive Control: The Soviet Concept of Influencing an Adversary’s Decision Making Process”（SAI-84-024-FSRC-E，Science Applications，Inc.，Englewood，CO，1984）。您也可以在网上搜索“Vladimir Lefebvre”，浏览相关页面。相信无论是出于闲暇的爱好还是专业学术的研究，相关文章都很有裨益。

自反控制技术主要用来控制事态发展。人们可通过一系列的自身行为引发对方的连锁反馈，从而激励客体按照主体的方法行事。利用这一技术，欺骗的主体完全通过自身的行为控制事态的发展。

欺骗始计
天下没有无米之炊。欺骗计划同样面临成本和风险问题。

子曰多算胜，少算不胜。成本是可以算出来的。越是高明的骗局，它的成本也就越小。实施欺骗也就意味着消耗成本。要知道一分钱一分货，欺骗的成本应当与目标的价值成正比。即使在最高超的骗局里，其成本的价值与目标的价值相称。如果为了什么目标非要策划欺骗不可，总要有其他人准备相应的资源以实现抵赖。这些都是成本问题。

必须具备人力、物力、时间，还有精力才可以设计、执行欺骗计划。资源是有限的，肯定满足不了太过贪婪的欲望。如果能够预计到对手来袭（经验已经证明，这是注定要发生的），在不知道防守措施是否会有效的情况下（经验同样证明了，世上没有不破之盾），实施欺骗性防守更为明智。不会有人因为闲得无聊而去策划欺骗，因为欺骗本身就有后果，顾名思义就是成本和风险。

显性成本有简单的计算方法。我们可以通过估算策划、执行欺骗需要消耗的工时，计算出欺骗的成本。但是机会成本也应考虑在内——例如，如果这些资源不用在这场欺骗行动，而是投入常规业务，这会带来多少投资回报？此外，成功与失败的兑换比率是多少，全赔是不是值得接受的结果？我们的对手是否也会进行相关的计算，我们有多大的把握取胜？假如对手做了我们希望他做的事情，他会不会已经评估过我们成功的价值，或者是不是他本来就把这场欺骗带来的损失当作“商务风险”？总之，与对应的成本和风险相比，我们冒险去实施欺骗的价值到底在哪里？

虽然成本和风险也是欺骗的核心话题，但不是本书的主题；我们点到即止。

所谓人和
欺骗的主体负责策划和执行骗局，他需要相应的人力资源。从另外一个角度看，选择相应的策划人、执行人，就是选择“成本－风险”的组合。人力资源问题实际上可以分为两个方面：

需要什么样的技巧；
如何培养网络骗局所需的人才。
欺骗是操纵他人行为的计划和活动。操纵无效、设计不良、执行不力——无论发生哪一种情况，客体都会意识到其中有诈；他们会拒绝合作，甚至开展反制措施。

在20世纪80年代，位于美国加利福尼亚州的国家陆军培训中心（Army’s National Training Center in California）进行过战术欺骗的一项研究。他们的研究结果非常明确：最好指派主战指挥员负责欺骗行动。主战指挥员比他人更频繁地使用诈术，他们能够达到更优的效果，执行计划所需的代价最小，而且指战员能够保证完成战术欺骗任务11。军事案例研究只是在生物领域优胜劣汰的一种特例。

中国古代的战争哲学《孙子兵法》，特别讲究战争中的个人能力。孙子认为战争的本质就是欺骗，他说“兵不厌诈”。然而孙子的思想更为深邃，他以高于战术欺骗的眼光，从成本和风险的角度看待战争。他在书中赞叹到：“是故百战百胜，非善之善者也；不战而屈人之兵，善之善者也。”

欺骗是行为的技术，那么欺骗主体需要具备什么能力？主体要客体做些什么事情？主体要怎样做，才能诱导客体？在行为之外，要怎样做才能确保客体愿意合作？

我们认为能者擅骗12。他“在竞争中生存”，我们就有理由相信他能够敏感地体察到对手能力和智慧，能够应付竞争对手的各种行动，足以应对各种意外情况。在竞争中不依赖智慧和能力而生存下来的人，他的生存命脉应该就是充分的压倒性的力量和资源。总是有一些人，例如领导人、将军、教练，他们谋求通过压倒性的实力和资源获胜；但是那些“称职”的人，要为自己可能不具备压倒性的实力为结果做好充分的准备。这两者相争，会发生什么？缺乏资源优势的一方必然借助于计谋，也就是狡诈。如果他的实力绝非夸夸其谈，那么他早就准备好比下策更为高明的计谋，根本不会惨败。

如果伦理道德支持以牙还牙、以骗制骗，那么负责防守的维护方就可以使用欺骗进行防御。谁应负责策划和执行这种防御性欺骗？答案只有一个——以创意取胜的称职的维护者。

制定欺骗计划必须综合考虑成本、风险和潜在的收益。所谓风险包含失败和被反击两种风险。所有的欺骗计划必须假设他的对手也是一个干练的角色，只有这样他才能尽可能真实地揣摩研究对手的行为，策划合理的攻击策略。如此以来，各方都要谨言慎行，避免向对手通风报信。当一个扑克选手从牌桌上偷牌的时候，可能还真会有人认为他要从椅子上掉下来，用手扶了一把桌子而已。

维护方至少应有相称的技术，才能保证让对手对收集到的信息深信不疑。这就要求维护方（既欺骗的主体）足够了解对手，清楚对手针对这些信息可能会有哪些反应。理想情况下，维护方应能确定对手是否收集到了相关假情报，并且应该能够判断对手是否相信了这些假情报。对其假情报的推送效果了解越多，主体就越有信心继续推进这场诈术。

如果防守方有开展欺骗行动的计划，他必须比入侵者更熟悉自己运营的系统，也应能管理复杂的任务。担任这份重担的人，他不仅要擅于使用情报，还要有足够的创造力制造情报。他要主动接触工作单位之外的社会关系，并且能够在必要时召集、协调外部资源以支持自己的行动；较为纠结的是，对于防守方来说，他一生的工作可能都要这样。

“一生”，这个词再恰当不过了。战术欺骗的骗局无外乎此三种：成功、失败、半途而废。即使发生了什么事情，我们也不好说这个欺骗计划到底起了多大的作用。如果行动成功，那么就要结束行动，总结经验；若行动失败，必须终止相应行动，减少损失，总结教训；如果是胜是败都说不上，欺骗行动半途而废，那么就只剩下“总结教训”这一个任务了。

但不知道您是否注意到一个关键问题：重新来过又会怎样？只要骗局中的客体还是客体，他就可能犯经验主义错误——客体已经知道主体通常这般那般；主体将原方案稍作修改，再骗一次会不会成功？

所谓地利
策划人员要根据具体情况，因地制宜地计划、执行欺骗行动。

欺骗，例如说“情报工作”，应该都有主动和被动两种行动方式。在纯粹的被动式欺骗中，防守方单纯地促使攻击方暴露攻击手段，从而进行研究。在主动式欺骗中，主体安排人选，制定攻击方式。

被动式欺骗有点类似“守株待兔”。主体塑造好自己的网络，静静地等待入侵者自己上钩。例如，用被动式系统套取入侵者会尝试的密码。这种方法可以阻止入侵者轻易地获取网络权限。但是主动上钩的入侵者也不是傻瓜，他们或多或少会意识到网络里有防御系统。对于维护方而言，他们有管理、控制密码的优势。防御方在整理入侵者尝试过的密码后，再结合使用其他防御手段，可以制定出更为有安全的密码管理策略。

“将登陆的敌人抵挡在沙滩和港口就可守住阵地”的想法还不够成熟13，欠缺风险意识。只要有足够的动机、时间、资源，吃了秤砣的入侵者总有办法莫名其妙地获取这样或那样的权限。最终被动式防御还是将主动权让给入侵者。攻方会评估您数据的价值，测算他需要为此付出的时间和资源。这与防守方存不存在被动式防御系统没有关系。

有个著名的反间谍教练说过，“锁这种工具，防君子不防小人”。

Honeynet就是典型的例子。Honeynet伪装成漏洞百出的系统，可用来捕获入侵行为，从而辅助分析人员了解入侵的手段。在技术上，Honeynet是被动工作的，但当您刻意将它放置到网络中的某个地方，诱引入侵者攻击——这种蓄意的“引诱”就变成了防守方的一种主动欺骗。Honeynet的作用是引诱入侵者的火力，表面看来让入侵者掌握了主动权。但是在整体方案之中，他人的欺骗只是自己计划中的一部分，这样做确实能够减缓入侵者的渗透。

所谓“反间谍”的CI工作，并不止步于挫败敌人刺探机密的间谍行为。反间谍工作的最高战略目标是“控制”敌对的情报服务14。在需要牵制特定的火力，分析和识别对方情况的时候，可以使用主动欺骗的手段，以此找到破绽，反制对手和他们的网络。在这场骗局中，对手的行为实际是被控的；对手进攻得越起劲，就对今后的防守工作越有利。反制（exploitation）是反间谍活动的终极目的。因为显而易见的实际难度问题，某个情报机构完全控制其他情报机构、操纵对方情报这种情况几乎不存在，但是反间谍的终极目标不会变。

诚然，在执行计划的过程中，情报机构可能收集到一些有价值的情报。在分析这些情报之后，他们可以将这些情报有机地融入到现有行动计划中去。但是在行动开始之前，根本指望不上这类情报；可以认为这种情报是偶然的附带利益。至少，主动欺骗旨在于使对方敌对人员的攻击不利，让他们接受不明智的风险，收集到错误的情报，甚至是令他们的指挥官尴尬或反受其害。最理想的情况下，主动式欺骗应该“摧毁”入侵者的意志——形象地说，要他们抿抿嘴还远远不够解气，也要让客体给他的同伴捣捣乱，或者给他的友军带来生命损失。

欺骗带来的与风险有关联的特性，可能像滚雪球那样越来越大，就好比在竞争的世界里，每个人都面临着优胜劣汰的风险。挫败竞争对手的行动必然会引起对方的反应。双方都会衡量各自面临风险和收益，进行各自的反应。在网络防御的“如何使用欺骗”、“使用何等规模欺骗”这两道计算题中，“失败或受反制的风险”永远是必须计算在内的实参。

所谓天时
何时才适合发起欺骗？

下面是网络攻防的双方都会用到的一张表。您可以把这张表当作一种简化版的例子。从表中可以看出，欺骗行动的主体需要遵循一致性原则，花费大量的时间进行组织和策划。当然，面对同一张表，欺骗的主体和客体会有各自不同的解读角度。

如果欺骗计划越偏向表中的右下角，那么这个计划就越对防御者有利。从防御者的角度来看，乍看去，表中左上角的计划最具威胁；他们也往往注意那里。但就实际情况来说，最危险的攻击往往来自表中的左下角。它的危险性来自两方面：

入侵者隐匿自己实力的水平（没人会在自己脑门上贴上“我是坏人”）；
防御者获取情报的质量和他们分析情报的水平。
为什么要替别人做这种矩阵分析？难道说，即使进攻者的骗术水平再高也不会具有什么危险性？高水平的入侵者费这个力气干嘛？这是否可能是高能力的组织演习时用到的资料，在不报警的情况下进行培训和试验？

从欺骗的主体的角度来看这个表，理解就会完全不同。主体的目的是引发客体的行为，而不是谋求立竿见影、一步到位的效果。主体通常会将一个完整目标分解为若干个不会引起防御者警觉的小目标，然后去逐一实施。在他们聚沙成塔的同时，他们可以不停地搜集客体可利用的弱点，并且不停地确定客体的可利用的行为模式。表中的中间一行可能代表了绝大多数的人：一类人玩得太大，要不干脆就是罪犯，另一类人试图操纵客体整个团队和经理的行为。虽然他们的行为和手段都明显不同，但是他们的下场更明显：都会完蛋。

以主体视角去联想表中右上角的案例，您可能会联想到攻击伊朗炼铀工厂的震网（Stuxnet）事件。前些年伊朗网络中出现一种病毒，这个病毒最终损毁了核设施中的离心机。但是这个行动要震慑的目标恐怕远在炼铀厂之上，应该是伊朗的决策机构。这个病毒在有限时间内引发的巨大破坏，彰显了美俄共同限制伊朗核野心的决心。那些制造病毒的人拥有如此的实力，肯定可以将程序搞得危害更大一些，让伊朗的损失更为惨重；但是他们选择了点到即止，这也在客观上限制了伊朗当局反应的激烈程度。这种度的把握将病毒攻击事件定性为警告而非宣战。震网病毒的战术，体现了技术、政治、业务复杂度的种种高超技巧，同时展现了网络欺骗到底能发挥多高级别的作用。从另一个层面看，这个案例表明了成功的欺骗战术需要颇为广泛的技巧——不仅需要技术技巧，也要有官僚的、政治的、运作的技巧15。震网病毒本身论证了高水平的攻击需要高超的培训，高保障能力的协调，同样也解释了美国构建网络防御战略时为什么总是困难重重。

欺骗是攻击网络的必要元素，它也同样是防守网络的必备元素。

战略与考量
“欺骗战术在瞬间就可以实现本方的优势”——这只是魔术师或者信心满满的人士的想法。使用欺骗诉求优势，该方法够直接，但是余地有限。在网络攻防中使用欺骗性战略防御可以消耗黑客的时间，直接阻止入门黑客的小打小闹，收集实力派黑客的渗透情报，不过也就到此为止。这类级别的欺骗战术的主要价值体现为战略威慑。随着相关手段的曝光，无论是因为战术无效还是太过有效，攻击者总会知道一定的情报。威慑或许是欺骗战术能够达成的主要目标。

欺骗技术本身可以用来获取更持久的收益。如果将欺骗战术发挥得淋漓尽致，那么就可以把欺骗变成多重战略，它可以统一协调不同时间、不同任务的行动。那时，应该可以将攻击者（无论是个人还是组织）的优势完全转换为防守方的优势。

在战略性欺骗中，即使欺骗的客体意识到被欺骗了，他也不得不受控而听命于主体的指挥，即欺骗的主体可以在战略上将已完成的行动（或失败的行动）成功过渡到新的行动中去。无论是什么原因，例如意图暴露或者因为对手经验值很高，多数欺骗的行动都会被发现或被怀疑。此时最佳之举绝非将客体消灭，让他去报仇等，而应让他进入新的骗局，让他继续咬在鱼钩上，或者慢慢的让他失望。在这样的欺骗战略中，必须要提前设计自己的抽身之计。

战略性欺骗不仅需要更为全面的思考能力，更需要最高素质的人才。但是这些能人志士得到的相应回报，恐怕只有更大规模、更高要求任务的任命。

欺骗通常被误解为愚弄对手的方法或者障眼的诡计。防守方的确可以尝试蒙蔽入侵者，让后者搞不清楚安全策略和方案，甚至可能让后者怀疑自己行为的有效性。

其实，蒙蔽对手不一定需要刻意的计划。例如，不定时的维护网络，时不时的把密码设得非常复杂，并且在古怪的时机修改密码——这些习惯足以使入侵者晕头转向，但是这丝毫不会限制或者引导对手的行为。如果一个聪明的积极的对手认真起来，您可能应付不了他临场发挥的超常水平。也就是说，那个时候的现场就会变成防守方从未预想过的噩梦16。

我们希望对手思路清晰、信心满满，要他在进入网络之后四处碰壁。欺骗的意图是让对手自信，从而易于预测对手的行动。但是我们能不能给他提供一些信息，激励他们变成那样呢？欺骗追求的最重要的效果，可能就是取得和保持主动权。主动权在手，对手就会被迫作出友好的举动。为了获取主动权，我们可以进行一系列的设计，让某些行动为后续的行动做铺垫（或者叫做设局）。前文已经提到，弗拉基米尔·列斐伏尔（Vladimir Lefebvre）创造出了自反控制（reflexive control）技术。从欺骗的角度看，自反控制技术的精髓在于构建一个完整的局面，让客体在局中按照自己的方式，做他习惯或者喜欢的事情。若问在网络防守方面这些技术有什么实用意义？发挥您的技术实力和想象力吧！

达德利·克拉克（Dudley Clarke）上校研究过欺骗的另外一个关键问题。他总结出让对手违背自身意愿，服从欺骗主体意志的关键点。二战期间，克拉克上校在英国部队中曾经致力于建立战略欺骗机构，在这个机构成立之后他赴地中海进行情报控制工作。在反间谍、进行情报欺骗活动的话题上，克拉克强调“必须考虑要敌军指挥官做什么。如果您控制他们的耳朵，您告诉他什么？假设对手信赖了这些情报——即使我们仅仅只能假设，无法验证这种信任——我们也有必要做充足的准备，获取战局的优势。透露给敌方的情报是欺骗性的假情报。届时您要做的事情就是利用和拓展优势。”17

故而，具体技术不直接决定欺骗行动的成败。成功的关键是要知己知彼，密切关注敌我双方，要知彼解己，引诱对手就范。最重要的一点是策划，即占据优势所需的方法。骗来骗去就是不占便宜，那就不可理喻了。

情报与欺骗
“情报”是名词，泛指那些被收集来的按照决策层需要而整理的信息。并非所有的信息都是情报，对一些决策者有价值的情报对其他决策者也可能没用。为了收集有用的情报，情报人员需要明白决策者需要哪些信息；要不然，机构高层就要明确其自身意图，以便情报人员从海量信息中筛选出用得上的情报。这种需求要从决策层明确地传达到情报收集人员。

在情报的处理过程中，有关人员会给各种情报设定优先级。虽然各种情报都有一定的价值，但是情报工作不能收集一切情报。收集情报都要消耗相应的资源，而实际资源肯定不足以收集一切情报。情报人员利用优先级这种手段，对情报的价值、影响力进行排序，合理分配资源，促进工作的效率。本质上说，网络防御的情报工作也是如此。那些对攻方有用的情报，在防御方看来也同样独具魅力。

情报工作有两种类型。

主动式情报（PI）：以“对己方主动行动有利”为目的而采集到的信息18。
反间谍情报（CI）：以“挫败对手情报工作”为目的而采集的信息。CI有一类工作叫做“攻势CI”，顾名思义就是以攻为守。攻势CI以渗透敌方的攻击单位为目的开展情报工作，旨在化解至少干扰敌对攻击行为。
为了合理进行收集、处理、分发和使用情报工作，相关部门必须“按需分配”资源，按照敌对行为对己方网络的破坏程度分配相应的工作资源。

这就要求防御方收集大量的敌方信息：谁、如何渗透（或破坏）己方的网络；他们的工具、人员专业程度如何；获取信息的手段等情况。CI工作的思考点又杂又细；PI的工作也很繁琐。将这些所需信息以文字形式整理为清单之后，管理人员就可以指挥情报收集人员开展工作。这个信息清单就叫做情报信息的必要元素（Essential Elements of Information，EEI）。

除去早期的威胁预警之外，情报工作基本都需要明确的EEI。而且，无论是明确的还是笼统的，只要是对手的EEI就都是情报人员的目标。在对手的清单里，有“对手已经知道什么”、“他们还对什么情报感兴趣”这类信息；进行相应工作之后，更可以明确对手要保护的目标和后续行动。

上述内容将本书过渡到了正题，诸如“我们在防御什么人的攻击”、“要防御什么样的攻击”这类问题。一方面，防御方掌握的技术技巧正是渗透系统所需要的技术技巧，从技术本质上看，这是防御方限制他人行为的有利条件。另一方面，我们对入侵事件的幕后黑手只有大概的判断。扮演反派人物的阵容大得惊人，在校学生、外国政府到犯罪团伙都有可能扮演踢馆的角色。特定信息系统（甚至包括那些受保护系统在内）生命周期的长短，还有它上面存储信息的价值，都丝毫不影响它们“被踢馆”的必然性。

然而人们常常忽视了一个问题——计算机网络系统由人建立，由人来操作，供人使用。所以，安全问题的中心问题就是人，所有的人都有弱点和漏洞。维护人员对PI和CI工作理解得越是透彻，他们的防御和防御性欺骗就越可能成功。

如果不能了解情况，防御人员就会一筹莫展。他们对网络、业务、操作和维护人员的理解程度，直接决定了防御体系的设计和效果。但是，知己知彼的“彼”—潜在的欺骗方（入侵者）——又如何获取入侵所需的信息呢？以技术手段为主。网络系统必须按照预设的模式稳定运作。对手必须使用与目标系统一致的协议才能获取相应情报；否则，他就是有内部人士协助，不然他拿不到访问系统的“钥匙”。

情报与欺骗的关系就是“鸡”和“蛋”的关系。

如果不能合理设置优先级，就不能充分利用资源，情报工作也就不会有效率。所以，情报收集工作首先要明确EEI，确定收集相关情报的方法。设定情报任务优先级的时候要注意保留余地，因为双方都在做情报工作，理想情况下防御方要保护的信息就是攻击方感兴趣的情报，所以搞不好会被耍了。

欺骗，不可避免地成为了攻防双方情报人员争夺行动主动权的焦点。情报人员不得不伪装、掩盖那些必须存在又必须暴露的目标，甚至还要在周围布置起引诱对方注意力的饵。所以，在谋求己方需要的主要信息之外，情报人员也同样需要收集对手情报工作的信息。他们掌握多少己方情报？他们如何隐蔽、掩饰和布诱饵？要想理解对手，就需要拿镜子从各个角度照照自己；您和他的工作本质上没什么区别吧！情报的收集、抵赖和欺骗是个没完没了的过程。

然而情报工作有量和度的问题。情报工作“有”所不能的原因很多，其中最现实的因素就是时间和经费。为了避免不合理地分配时间和资源，情报工作需要人为把关——设置优先级。否则，各种意外和灾难将会层出不穷，情报机关就要耗费更多的时间和资源，进行更多的分析，制定更多的预案。逻辑上看，没有正确的认识就不会有正确的实践；所以，脱离了准确的情报便不会有务实的决策。无论最终决策是否要开展欺骗、要进行渗透，甚至毁灭敌对网络，情报都是决策的依据。

所谓兵来将挡，水来土掩。极其复杂而且技术含量高的网络情报工作，就要由高水准的情报人员来设计和执行。但是对于网络防御来说，传统的执行或管理角色的情报工作人员还是势单力薄。换句话说，网络防御的情报工作需要全新的情报角色。

我们需要专门进行情报汇总的情报人员。人以群分，不同的人脉网络有着各自兴趣点和利害关系。在理解这些网络之间的关联关系之后，情报汇总的作用就显现出来了：寻求非法访问的人到底有什么动机？他们这么做有什么利益可图？决定他们进行攻击（包括持续攻击）的手段有哪些？掌握上述情报后，我们如何操纵这些入侵网络的家伙？

防范数据库和网络的主要安全措施，与常见的物理防范方法如出一辙：装个护栏，门口安排警卫，使用密码锁，聘用可信赖的人士。只是，无论在物理世界还是在网络世界里，这些措施的效果都差不多——不如说，“防君子不防小人”。

更为不妙的是，供需关系的法则此处也适用。仓库里的货物越是值钱，虎视眈眈地惦记仓库的贼人就会越多。只要他敢想敢做，再高的墙他也能翻过去；再多的岗哨他也能穿过去；再麻烦的密码也有办法搞到；就算您再信任的亲信也可能被重金收买。

被动的保护措施效果有限。网络防御必须采取主动的防御措施。无论对手是谁，他们会采取什么手段，我们需要情报，拟定欺骗策略也需要情报——我们从始至终都需要情报。

刚性约束
欺骗规划的首要约束力来自于计算机和网络的本质特性。计算机和网络必须遵循明确和一致的规则，要不然，整个信息系统无法协调运作。相对的，这些规则必须经得起时间的推敲，被厂商和专业人员普遍采纳，才能够确保信息系统胜任各种场所、各种时间的工作。

网络有互联的特性，也会有自己的互联规则。虽然频频有人利用网络进行非法访问，但是我们却不太可能搞清网络、规则、入侵的理论关系。更重要的是，网络系统中的内容就是供操作人员使用的，网络管理人员和客服人员也不例外。技术上说，这些人都是泄露数据内容和技术信息的潜在源头——无论他们有意还是无意。

以“使用欺骗手段来保护信息安全”为前提，一旦把欺骗的客体定位于“试图越权访问敏感数据的人”，那么相关工作将会产生严重的道德后果。既不伤及无辜的第三方，又要骗倒未知的对手，这种主动式欺骗可能存在吗？只要使用欺骗，假饵（伪情报）就在那里引诱所有人；它能骗倒对手，同样也会骗倒无辜的人。实际上，客体可能受伪情报误导而做出违法的事情。不得不说，即使出于防御的正当目的，欺骗手段也可能给无辜的人、无辜的网络造成无法预料的损失。

所以我们必须在“对手”的辨别上下功夫：我们要将不知深浅的青春期孩子和恶意罪犯区别开，将职业犯罪黑客和试探自己能力的安全爱好者区别对待，等等。这就要有一项长期的情报计划，要认真地持续地收集入侵网络的详细信息。这个计划旨在为合理调配防御性资源提供依据。

我们还需要知道，欺骗手段可能带来副作用。“开展何种程度的欺骗”这个问题并不是技术问题，也不是如何选择技术的问题。影响欺骗行动的因素只有两个：攻防双方的创造性和实施技战术的技巧。欺骗计划不仅取决于判断力与规划能力，也是取决双方能够担当多大程度的责任。可以肯定的说，攻防双方的责任感是不同的，也是不对称的。防御的一方会受收法律、道德和责任的约束，但是另外一方才不会理会这些条条框框。

广义地说，欺骗旨在减少信息对抗的不确定性因素，将攻击一方的优势扭转为防御一方的优势。

看待失败
包括欺骗在内，任何行动都有可能失败。利用对手的弱点，形成己方的优势，确实是欺骗行动的高潮部分。如果到了最后对手还没有意识到他被耍了，那么这样的欺骗行动可能也没什么必要。虽说行动可能失败，但是人们还是趋之若鹜。嘉年华的“打奶瓶”游戏19就是靠着人们“下次我会赢”的心理大发横财的。

二战中著名的诺曼底登陆计划由数个欺骗过程组成，是非常成功的欺骗案例；美中不足的是，这个计划是盟军在失败阶段的反击行动。诺曼底登陆计划成功的要点之一是盟军成功地通过D-day这个代码掩盖了具体的登陆日期；这一战术有效地造成了敌人的心理疲劳。德军观察哨在1944年6月6日看见海面舰只的时候，这一欺骗性的疲劳战术就自然而然地结束了20。

欺骗行动从头到尾都依赖各种情节和事件，本来就不能保证成功。每次行动都可能因为工作的质量不高、自然原因等不可抗力、概率法则或其他因素面导致失败。我们讨论一些可能导致失败的原因。

欺骗主体可能在将客体引入故事情节时失败，未能按照计划成功影响客体21。
客体可能对故事的内容产生曲解，为了应对这种局面，行动人员可能不得不现场发挥。
客体可能出现欺骗计划预期之外的反应或反抗。
执行欺骗方案时可能出现能力不足的情况。书到用时方恨少。
主体在利用主动性的准备上可能不充分。
英国韦维尔（Wavell）将军和他的情报机构的首席准将达德利·克拉克（Dudley Clarke）在二战早期就有类似体会。英军在阿巴西利亚（埃塞俄比亚）与意大利军的战争中尝到了失败的滋味。韦维尔策划攻击意军北翼，所以他在南翼发起佯攻，希望吸引意军北部兵力。不幸的是意大利军队不肯就范，他们从南部收兵镇守于北侧。对方的长官意外的聪明，很明显他们对南北两翼的作用有着自己的高见。这次行动给克拉克自己上了一课，他总结出实际性教训：欺骗计划应当由“您想要敌人做什么？”开始考虑，而不应该从“您要敌人怎么想？”着手22。

即使欺骗行动取得了辉煌的战果，决定欺骗成败的因素可能也不止一个。在这方面，1944年6月6日的诺曼底登陆计划就是个典型的例子。世人都认为这是了不起的成就。为了防止德军知道登陆的确切时间和地点，使德军布置远离登陆区城，数千人在半个地球的范围内进行各种欺骗活动。但是，事情过去了这么多年，目前仍不清楚登陆成功的功劳应该归于谁。

有些人认为，整个计划的成功关键是在天气不利的情况下进行提前登陆的决定。实际上，一个月后的气象条件，例如潮汐、日光、月光等自然条件，都更适宜登陆。但是盟军担心预定计划可能已经走漏风声，因为一个月后德军可能会提前刺探到登陆的情报，届时德军可能增强防御，挫败登陆计划。在当时，德军有能力准确地预测天气，情报分析工作也很到位。基于这些情报，德军指挥官判断盟军至少要等到天气合适的6月底才会开始登陆。他们认为盟军的登陆行动会极力避免天气带来的不利影响，而6月初的天气并不适合登陆。德军情报人员分析了盟军先前的两栖作战，这种总结确无问题。但是他们的情报却给了指挥官不太正确的信心。

可是百密难免有一疏，德军输在了天气预报的致命错误上。他们漏算了东北方向的气压团的影响，没能预报出6月6日清晨到7日的两个晴天。由于他们气象情报团队的失误，德军未能预见到本来应该可以预计到的好天气，更未能提前做好军事准备。德军指挥官隆美尔当天还在斯图加特为妻子庆祝生日，德军的很多高级官员那天也因为军事演习而不在军队总部。

德国气象预报掉链子的原因更具戏剧性。美国海岸警卫队和海军在很早之前就端掉了德军在格陵兰岛的气象观测站，所以德军在二战早期就已经不能全面掌握北大西洋的气象信息了。在1944年6月前后，德军仅能通过2～3艘U型潜艇收集北大西洋的气象资料，不过这些气象数据太过局限。在诺曼底登陆以前，德军早就不能够准确预测西欧的天气了23。

这是不是意味着，二战诺曼底登陆的欺骗战术彻底就是摆设。或者根本不必要呢？并非如此。战争需要大量的人力和后勤保障。如果资源充足，就不应该拒绝使用欺骗战术。

战争时期的真相弥足珍贵，所以有必要一直用谎言为真相保驾护航。

—— Churchill（丘吉尔）

您的信息系统有多宝贵呢？

1译者注：指法律法规中公众权利和企业义务之间的潜在矛盾。
2译者注：大意是说，主观与客观之间绝对会存在偏差，而无绝对统一；认识和实践都需要人花费时间，发挥主观能动性，但不会尽善尽美。
3作者注：后来Kingston Trio公司在1959年专门录制过一首主题曲，歌名是《MTA上的查理》。
4译者注：在后文中，译者将“欺诈者”称为“欺骗的主体”，“被骗的人”称为“欺骗的客体”。
5作者注：欺骗行动总要辨别对手相信了什么，他们有什么打算；但是在关键时刻，对手往往会自乱方寸。例如1967～1973年间的两次阿以战争（又称中东战争），在开战之前情报机构都接到刺探战争发起时间的任务。但是战后的研究发现，交战前双方都没有明确的交战计划。直到两军下达交战指令之前，双方军队都是在待命而已。如果您需要更详细了解相关情况，请参照Thomas G. Belden在International Studies Quarterly，Vol. 21，No. 1发表的Indications，Warning，and Crisis Operations。
6作者注：请参照“Outs”: Precautions and Challenges for Ambitious Card Workers，作者 Charles H. Hopkins and illustrated by Walter S. Fogg，1940。
7作者注：在第二次世界大战发生前后，他都是成功的电影制片人。
8作者注：摘自The Camouflage Story （From Aintree to Alamein），作者Geoffrey and Natalie Barkas，由London，Cassell & Company Ltd于1952年出版。
9译者注：人的意愿、意识决定他们使用什么技术，发挥什么能力。所以，作者刻意强调了决策的决定作用，因为决策“决定”了使用何种技术手段。本文并没有无视技术的重要作用。
10作者注：视频见http://www.koreus.com/video/football-americain-culot.html。
11作者注：出于各种考虑，这项研究成果从未公开发表过。但是参与这项研究的Fred Feer很愿意与大家讨论相关话题。
12译者住：在英文中，“称职的”和“有能力的”都是competent，所以这个单词是个双关语。此处“能者”使用的是competent competitor。本段以及下一段均出现的“称职的”说法，实际上用的都是competent这个词。
13译者注：这段文字不仅有“没有打不破的盾牌”的意思，还有更深的含义。举例来说，抢滩登陆只派舰艇作战——这种假设便不太靠谱，登陆作战可能是涉及空投的立体作战。阵地防守也同样受到预想不到的客观条件限制，如大雾等气象不利条件。进行情景化假设，从而推测失败原因——这种思路本身就不是彻底的风险意识。
14作者注：相关的概念和出处可参见John LeCarre的 Tinker，Tailor，Soldier，Spy；The Honourable Schoolboy；Smiley’s People。虽然小说都是虚构的，但是相关概念抓住了“欺骗”的相关要领。
15作者注：请参见Holger Stark的文章“Stunxnet Virus Opens New era of cyber War”，网址是www.spiegel.de/international/world/0151877891200.html。
16作者注：在第二次世界大战早期就有一个经典的军事案例：英军在与埃塞俄比亚的意大利军队作战时，曾经使用欺骗战术却适得其反。那时英军假装强攻意军南翼，希望意军调动北翼守军支援南方部队，以便趁势打击意军北方的基地。意大利军显然没有上当，他们收缩了南侧战线，强化了北翼的防御。欲了解更多信息，请参阅David Mure的名作Master of Deception: Tangled Webs in London and the Middle East （William Kimber，1980）。
17作者注：在Master of Deception: Tangled Webs in London and the Middle East一书中，David Mure再现了Clarke上校在1941～1945年间在地中海的一些案例。
18译者注：“知己知彼，百战不殆”。
19译者注：玩家在远处使用网球投掷奶瓶的游戏。网球的靶子是按照3-2-1的数量垒起来（至少会有2层）的奶瓶，击倒全部奶瓶才算获胜。实际上，因为网球的重量要比瓶子的重量低一个数量级，所以游戏的难度非常大。
20作者注：David Eisenhower的Eisenhower at War 1943-1945 （Random House，1986）代表了一部分人的观点。这种观点认为盟军在英国保留了足以发起第二轮登陆战的战斗力。盟军当时已经考虑到诺曼底登陆有可能会失败，他们备有兵力准备在Calais或Brittany开展第二次登陆。D-day行动莫非是假戏真做？
21作者注：The Intelligence Process and the Verification Problem （The RAND Corp.，1985），F. S. Feer演示了从不合作的客体获取足够情报的难度。向客体传达令人信服的信息的过程中，也有相似的困难和问题。
22作者注：参见David Mure出版的Master of Deception : Tangled Webs in London and in the Middle East（William Kimber，London，1980）。
23作者注：请参考British Intelligence in the Second World War，第二卷，“Annex 7: German Meteorological Operations in the Arctic，1940-1941，” 与第三卷的相关内容，作者为F. H. Hinsley等人，剑桥大学出版社，纽约，1981年发行。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。

关于作者
请君入瓮——APT攻防指南之兵不厌诈
Sean M. Bodmer，CISSP CEH，在2011年（撰写本书时）时任Damblla威胁情报分析领域的资深专家。国内翻译本书时，他已经是countertack.com的首席安全研究员。Sean擅长调查处理各种网络犯罪的案件，专门研究有组织的持续攻击（PT）用到的学习式工具、技术、方法。近15年来，他在美国不同类型的公司担任各种类型的安全专家，为各行各业的客户出谋划策。或许，不少人都会有多年的黑盒测试、漏洞挖掘、事故响应、入侵分析经验；然而像Sean这样数次参与世界百强企业、美国国防部和联邦政府的入侵分析和网络防御行动的专家并不多见。Sean出席过各个行业领域的内部会议，并且多次分享过他的研究成果。在中学时期他就已经擅长入侵和挖掘漏洞；也就在那个时期，他为自己树立了在他人口中这个“不太可能”或者“不可能”的职业规划——致力于分析和研究地下的网络犯罪。

Dr. Max Kilger，早在1993年就获取了美国斯坦福（Stanford）大学的社会心理学博士学位。多年来Max Kilger笔耕不辍，在颇多的研究性文章或书籍中，您都会找到Max Kilger的名字，看到他对热门话题独到的见解。他发表的文章主要涵盖以下的话题：决策因素、人与技术的互动、恶意行为的动机分析、黑客团体的社会学变革、新兴的网络威胁的本质。Max是著名的Honeynet Project（蜜网项目）的创始人和早期成员之一。作为非盈利项目，Honeynet Project凝聚起了各国的信息安全人才，为公众提供了长达10年之久的免费服务。Max是美国工学界打击恐怖主义委员会（National Academy of Engineering’s Combatting Terrorism Committee）的成员。这个委员会旨在为美国国会和联邦政府推广反恐技术。Max常常应邀出席（美国）国内外的各种法学、情报体系、军事团体会议和活动，经常在活动中发表演讲。

Gregory Carpenter，CISM，退役军官，他曾在军队服役27年。在他精彩的职业生涯里，他效力过陆军、防化、医疗和情报体系等军事部门。Gregory荣获多枚专业奖章，其中包括一枚著名的美国国家安全局年度最佳武官奖（2007年）。Gregory于1993年获得了科罗拉多州基督教大学的工学学士学位，2001年在西东大学获取硕士学位。目前Gregory在一家私人企业工作。

Jade Jones早在1994年就受任于美国海军军法总队。目前Jade是美国海军预备役的指挥官。他的实践领域很广泛，包括信息处理、情报学和国际空间法学研究。Jade 持有陶森大学地理与亚洲研究专业的文学学位、波士顿大学法学院的法学学位（J.D.）。Jade也是美国国防部的文职官员。

献词
请君入瓮——APT攻防指南之兵不厌诈
谨以创作团队的名义，以此书向 Brad Smith与Angelo Bencivenga致敬。请允许我们在此感谢我们的“保育员”（Nurse）Brad Smith。在我们身心屡受挫折时，只有他才能治愈我们的灵魂，激励我们的意志。同时在此感谢我们的良师益友、有“政府的秘密武器”之称的Angelo Bencivenga。我们不厌其烦地给他带去各种力所能及的精神打击（笑）。正是Angelo使我们走到了一起！

此外，我还要感谢世界上各种各样的纠葛势力。他们造就了我人生中所有的跌宕起伏。

——Sean M. Bodmer

谨以此书献给我美丽和善解人意的妻子Christine。这些年来，她一直毫无怨言的支持着我的工作，帮助我有机会更好地理解人与技术之间的关系。有的人为了他人的幸福而牺牲了个人的生活；我也希望能够借以此书向他们表达我个人的敬意和感谢！

——Dr. Max Kilger

感谢我美丽的妻子和孩子，谢谢他们给予我的最大的理解与耐心。感谢Carmeron Hunt，谢谢他带我走过一段充满野性的难忘旅途——如果要将其中的故事全部写下来，那得再写一本书；感谢Jeff Willhite，他作为真心朋友灌输予我正确的生活观念；感谢Angelo Bencivenga，他是拥有全面的洞察力和各种能力的真行家。与他相比，多数所谓的专家只不过是假装跟上他步伐的外行人。

——Gregory Carpenter

谨以此书献给我挚爱的家人，他们在我疯狂的熬夜工作期间给予我不离不弃地照顾和支持。同时感谢我的父亲James Edward Jones、大学时期的地理教授Dr. Armando DaSilva，他们两人教会我用战略的眼光去思考问题。

——Jade Jones

致谢
请君入瓮——APT攻防指南之兵不厌诈
我们要在此感谢编辑团队。多亏了他们的指点，我们的创作过程才如此顺利。我们也在此感谢Jeffrey Jones、Fred Feer和Lance James，他们的鼎力相助增强了本书的可读性1。最后，感谢您对本书持有的兴趣。本书的部分内容由美国顶尖的网络情报反间谍专家和犯罪分析专家指导完成，因此体现了他们大量的知识与智慧。最后的最后，我们再次感谢Alex Eisen和他无以伦比的技术编辑能力。Alex Eisen有着惊人的技术见解，实际上文中很多精彩的内容是他督促而完成的，他是位思想深邃的信息安全专业人士。

译者注：我们蹩脚的语言能力可能破坏了原文的美感，还请读者见谅。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。

前言
请君入瓮——APT攻防指南之兵不厌诈
欢迎您阅读本书，同时感谢您对本书中的话题抱有的兴趣。我们将与您一同讨论信息安全的工具、技术、流程，通过案例共同研究各种安全策略。您多半是意识到了企业网络中的安全威胁，并且希望掌握主动处理威胁、打击对手的知识。首先您需要了解APT（Advanced Persistent Threat）这个专业术语。APT是由高度熟练的资深实体发起的专门针对特定单位的持久性攻击。这个术语的历史比常人想象的要久，但是在2010年早期，谷歌报道“极光行动”之前，APT还不那么臭名昭著。在本书里，我们将讨论应对APT、持续性威胁、机会主义威胁的措施和方法。这些攻击都以企业中的敏感数据为目标，仅是最终目标不同。

在本书中，您将有机会更深入地了解被统称为“犯罪软件”的各种恶意软件，以及相关的工具、策略；与此同时，您也将看到根除这些恶意软件的应对策略。我们所建议的最优方法，不仅能够帮助您将企业面对的安全风险降至最低，而且能够提您单位的安全水平，增强应对事故的能力。没人愿意让对手占据上风。不过对手确实可能占领、控制您的网络，在这种情况下您也要将对手驱逐出网络。

漏洞与exploit
威胁可能来自对手撞大运式的机会主义恶意软件，也可能来自网络和主机的系统无法识别出来的针对性极强的恶意软件。我们在思考时应该注意实际情况，即，每年人们都会从各种平台和软件上挖掘出数量庞大的漏洞。表1列出了Exploit Database（http://www.exploit-db.com）在2010年统计的exploit1的数量。这些数据包含了2003年以来的exploit（不完全）总量。虽然Exploit DB的统计是不完全统计，但是它也足以说明实际存在的exploit数量惊人。表1中的统计数据仅仅统计了操作系统本身的exploit，没有统计第三方程序或后台服务的数据（不统计PHP和SQL这样的程序的exploit）。

exploit可能使用了公开披露的或（和）未公开披露的漏洞。现在请开动一下您的想象力，假设这些曝光的漏洞都存在对应的exploit，设想一下某些自动化工具、犯罪软件可以“智能”地将exploit打包到新的程序里去——APT攻击所需的软件就可以这样轻松地问世了。这还不是最终的问题。无论您的企业是使用封闭的网络系统，还是依赖云计算服务，您有没有注意到，企业网络里不仅有这么多有缺陷的平台，而且它们竟然普遍地联入网络，还彼此相互影响！

实际情况更为严重。不是每个人都会将自己开发的exploit公之于众，但是可以说每个曝光的漏洞都会被人研究（研发exploit）。无论是个人还是机构在研发exploit，绝大多数的exploit都不为人知，甚至可能有人进行专门的保密工作。Stuxnet（震网）就是个典型：某些人研究了那些过时的漏洞以及新发现的漏洞，开发出了前所未有的exploit，制造了震网病毒。但是当震网病毒浮诸媒体的时候，这些exploit就不可能继续不为人知了。

这样大规模的威胁在网络中四处飘荡，仅仅统计学的概率就可推测出自己多久就会挂彩——这个想法足够您在早班之前的咖啡中多放点料了。表2是根据美国国家漏洞数据库和美国国家应急响应中心（US－CERT）2009年到2011年Q1数据进行的统计。其中exploit的数据来自“Exploit Database”，这是一个收集绝大多数公开exploit的网站。罕为人知的是，在每10个公开的exploit里，很可能就有1个高价值的exploit在黑市里等着竞价拍卖。

显而易见，公众知道的漏洞的数量远远大于他们知道的exploit的数量。接下来，休息一下，喝一口刚冲好的咖啡，我们来进行脑筋急转弯的训练吧。

防守反击
这个话题更为引人入胜——如何获得安全威胁的可观测量2、如何使用可观测量应对安全威胁。可观测量是由传感器（sesonr）记录下来的入侵者的行为特征和行为模式，换句话说就是入侵事件的逻辑指纹。传感器是企业信息系统的网络设备和安全设备；理想情况下，传感器记录的数据应该可以用来重现发生过的安全事件。第3章会详细介绍可观测量。现在您仅需要了解可观测量的用途：可观测量是一组多元素的数据，综合考察这些数据就可以确切分析相应的对手或相应的安全威胁；若能正确分析、处理和使用可观测量，您同样可以找到思路应对威胁。应对安全威胁的结果有好有坏，它很大程度上依赖下面这些因素：入侵者的可控资源和技术实力；您自己识别和分析安全威胁的能力；您对关键威胁的重视程度。

针对每个威胁都确定最好的行动方针3，这对任何人来说都是挑战。毕竟天下没有两块完全一样的石头，也不会有完全相同的威胁。某些威胁可能有恶毒的目的，例如严重冲击系统、图谋物理损坏，甚至是伤害生命（中断企业运营、知识产权损失等）。在我们网络化的知识世界中，每天至少有数亿人使用各种网络系统。在这些或软或硬的系统中都储存不同程度的信息：个人信息、团队信息、单位信息、组织信息，或者是机构以往的、现在的、未来的计划方案。这些信息对于不同的犯罪团体在不同方面有着不同价值。

肖恩·艾瑞士（Sean Arries）——渗透测试专家和exploit分析专家——曾经说过，“以经济为目的威胁事件，其始作俑者往往在东欧；以信息或情报为目的的威胁事件，其来源多在亚洲；如果是美国人干的好事，其动机可能兼而有之。”美国特勤局和Verizon在2010年联合发表的Data Breach Investigations Report（数据外泄事故调查报告）之中有一点和历史信息吻合，即以经济为目的网络犯罪活动多数由贫困的东欧国家的个人或组织发起。我们（除去我们之中的政府雇员无法表态之外）完全认同肖恩·艾瑞士的这个观点；这也符合我们个人在相关领域的经验。

在地下黑市上，经常会有人违法贩卖涉及隐私和机密的数据，例如姓名、地址、财务信息、企业机密等。近几十年里，社会抵制这类犯罪的能力确实提高了，但是这类现象依然除之不尽。这是怎么回事？（个人或企业的）识别信息（identity）被盗之后，基本上相关受害者不能立刻意识到问题发生。在他们采取对策之前，这些数据一直有效。也就是说，在相当长的一段时间里，这些信息都有被恶意利用的价值。如果被盗的是企业识别信息，从数据被盗到受害单位的雇员发现问题之间的时间，通常是数小时到数周之间不等；如果被盗信息是个人识别信息，受害人自己在使用这些之前往往也发现不了问题。在这段空窗期内，盗贼却可以用这些信息非法地购物、旅游，或冒名顶替地做些坏事。不过这还不是最糟糕的情况：罪犯可能继续利用这些数据，得到更敏感或不公开的信息——从个人财务信息到政府的绝密资料，他们一个也不会放过。

知识共享
“网络化的知识”4这个术语由美国陆军退休的上校亨特（Hunt）创建。亨特上校是美国网军演习（NetForce Maneuver）背后的诸多智囊之一。美国的网军演习是美国国防部（DoD）的信息作战的战略行动，旨在演练应对网络入侵的工具和策略。亨特上校也是Sean Bodmer原先的指挥官5。Sean在亨特上校麾下时构建了美国国防部的蜜罐网格6（由部署在全球的不可探测的honeynet组成；honeygrid能够智能地适应入侵行为）。

双拳不敌四手，好汉不敌狼多。面对复杂的网络攻击群体时，谋求跨组织的合作，联手分析他们的目标和动机无疑是明智的选择。多组织合作首先就要实现网络化的知识体系，共同分享数据。

重要的是，要采用知识结合经验的方法，深入了解对手和他们的目标、动机。知识是最有力的武器，同时也可能是您最难对付的敌人。如果您所依赖的知识数据（日志、纪录、文件）可能被对手篡改，这将导致您应对不力。

每个人都对自己所知的事情深信不疑。但是在工作当中，有很多不可预料的成分将事情变得“未知”，举例如下。

每个软件背后的开发商，他们开发人员的专业水准不尽相同；他们专业水准中不足的部分，将最终体现在他们的编码里，就是您使用的程序里。
为您提供服务的专职人员的知识水平。
其他用户、朋友、家庭和同龄人的知识水平。
您签约的承包商或工作人员的知识水平。
您上司的知识水平。
您对手的知识水平和动机。
按照“对手／威胁”这两个类别给所有安全事故分类。在日后制定对策和应急预案时，这个清单会派得上用场。要结合网络评估和反间谍框架制定安全规划，以便日后处理每个安全事件时都有章可循。虽然没有绝对相同的安全威胁，但是会有固定的行为模式。无论对手是一个人还是一个团队，他们的行为总有固定的模式，这些模式最终将体现在他们的入侵行为中。

本书介绍工具、战术、流程（Tools，Tactics，and Procedures，TTP，为军事术语），希望这些知识可以为您当前的安全规划锦上添花，提高您个人的安全知识和安全意识。后文将通过不同级别的安全威胁，介绍处理各类事件的方法。每个人——从家庭用户到技术人员，从安全爱好者到企业中层——都需要更深刻地了解对手和安全威胁。我们再次强调，知识无疑可以是您的武器，但是它也是照搬书本的人的最大敌人。

希望您在阅读本书时，能不断地思考如下问题。

　我的对手是谁？能够识别对手是成功的一半。

对手掌握了哪些信息？我又了解他们多少？
无论是技术上还是物理上，我有哪些可被利用的弱点？
无论是技术上还是物理上，我在什么时候最易受攻击？
无论是技术上还是物理上，我的对手是否有能力利用我的弱点？
我对对手的能力和意图了解多少？
为什么对手会单挑我？小到钱财，大到国家机密都可能成为原因。攻击您的动机可能就是为了改变您的日程安排或者工作计划。
我的对手是如何操纵我的？我又如何才能够操纵我的对手？
知识储存在头脑之中、工作站上、服务器上，在全球各类电子设备上都存储着知识。这些想法、系统、设备，都通过一种媒介互相连接，这个媒介的名字叫做软件。在软件的各个阶段，即使是添加用户、装备、打补丁、版本控制、发行、磨合的变化阶段，软件都在维持各个媒体上知识的共生共存。软件的不确定因素为对手敞开了大门：他们可以借机利用您的弱点发起攻击，进行破坏，他们还可以鉴别信息的种类，将信息从您的系统导出（或转移）到远程目的地，盗取钱财；所以企业才需要安全团队周而复始地监测、减缓、治疗——清除种种问题。坏家伙们占有各种优势，他们不需要遵守规则、法规，甚至不把法律当回事。相比之下，多数读者都在合法的单位工作，必须遵守一套以上的规则或法规。

在后文中，反间谍专家将会分享各种丰富多彩的知识，深入分析各类惯犯，分析有财力撑腰的持续威胁，揭示各种应对入侵的手段。每个案例都有千奇百怪、迥然不同的目的，但是在可观测量面前所有的动机都昭然若揭。网络安全的对手是人，人的动机和目标都与情绪和其他主观因素有着千丝万缕的联系。第4章深度分析网络罪犯的行为。

对手一旦具备动机和目标，他们就会挖掘漏洞，进行攻击，对社会构成威胁。您不妨自问自答“我怎么知道自己有没有对手？”实际上，所有网络用户都是被瞄上的靶子。他们攻击您电脑的原因要多少有多少。对手需要跳板时，他们会攻击某些电脑；他们在进行更大规模攻击时，他们还是会从攻击电脑开始。当代计算机技术最大的问题就是太方便了——方便用户使用的同时，也方便犯罪干各种坏事：罪犯攻陷某台电脑就可方便地发起APT攻击。首当其冲的不会是固若金汤的服务器，而会是防护较差的工作站，甚或是社会工程学就可以骗倒的软柿子。尤其是对那些不缺钱的高手来说，社会工程学攻击更是他们的拿手好戏。

归根到底，所有的对手都是人。人有着情绪的套路和行为的方式，这与电脑软件的函数和过程十分相似。人类将本性全部表现在他们使用的手段和技巧上。人类开发工具、策划战术、研究技术，都是为了相似情况下轻松获胜，便于复制、量产“成功”。所以，为何不从体貌特征、破坏效果、行为模式上分析对手？在任何意义上说，这些分析工作绝非易事，但是事在人为，只要安全团队（或最终用户）尽职尽责，分析得足够彻底，他们就可以分析出案犯的行为模式。

企业网络好比宇宙中的一个微不足道的星系。在上亿个星系组成的宇宙里，每秒钟都发生着或“寻常”或“独特”的事件。不同的星系发生着程度不同、频率不同的事件。其中的某些事情每天都会上演，但是也有一些事情后无来者。我们现在讨论的人为事件——网络入侵——也差别不大。所有事件都隐含着模式、技术、可观测量。充分掌握这些信息，就可以形成自己的优势。只要从这个角度了解入侵和事件，就不会感到不知所措。天下没有完全相同的树叶，但是无论再怎么不同，树叶还是那种树上的叶子。每个事件都有独特的方面，并不是说没有办法分为“多次捣乱的对手的行为”、“历史上从未发生过特征类似的事件”，甚或是“以后也不会再发生类似情况的事件”，等等。所以，按照这种标准来看，安全团队可分为两类：一类是不能辨别“孤立事件”和“相关事件”的团队；一类是能进行相关判断的团队。您能够进行案件归类吗？

本书通篇围绕“对手”宕开笔墨。在讨论网络威胁的时候，“对手”是常用的措辞。我们建议将入侵事件按照对手的特征进行研究，便于深入了解威胁与对手之间的对应关系。当我们要操纵对手时，就需要收集对手的具体信息，此时这种对应关系就显得尤为重要。本书也会讨论判断安全事件与特定对手之间对应关系的具体方法。

专业人士将古今中（美）外的各种工具与技术有机地融合在一起，为您奉献出此书。在他们笔下，传统的反间谍情报工作与网络安全防御工作其实十分相似。专业人士也应当融会贯通不同行业、不同时代的各种相关技术。各种常见的、罕见的TTP都可以在信息安全领域发挥作用。借鉴后文中网络对抗的最佳实践方法和相应技术之后，您可主动地应对各类事件——从好奇心驱使的网络扫瞄到APT之间的各种入侵。

物理控制、应用欺骗战术、放假情报、行为分析、法证调查、政治判断和反间谍活动，都是APT和PT的克星。从业人员和管理人员常常忽视企业信息系统的物理控制，而物理控制的确是安全问题的重中之重。如果您可以控制战斗的阵地，怎么会有理由失败？控制阵地是实现安全的最基本原则。或许，在当处理遍布全球的巨型企业的网络时，问题会变得很棘手7。但是企业安全团队和安全策略也正为此而存在：提供可行的网络安全策略，实现网络数据的保密性、完整性和可用性。在处理企业网络时，您任何的操作都可能涉及企业规章和国家法律，有时候与领导沟通也会成为问题。

本书篇幅有限，我们不会探讨任何法律和规章问题，只讨论方案的可行性和方案的效果。您自己需要吸收相关概念，理解最佳方案，之后将这些TTP整合到您自己的工作、团队角色和部门预算里。

在通读本书之后，您可能发现自身工作与相关知识没有太多交集。其实哪怕是本书的作者，也不是所有人每天都要用到所有技术。但是您应该完整地理解本书内容，了解安全事件中的各个角色。在过于依赖技术的当今世界里，我们所有人都面临着源于技术的威胁。为了谋求个人或专业方面的利益，对手在我们的网络肆意窥探甚至违法地胡作非为。尽管存在很多信息技术，但是只有一小部分技术手段才能用来进行监测和对抗。

“所有”在主机上运行的反病毒系统、威胁防御系统，都只能用来对抗中下水平的威胁。从时效上看，这些防护系统都有滞后的特点。反病毒软件公司首先要收集到恶意软件程序的样本，然后才能生成特定签名，进行更新。借助签名技术，反病毒系统可以识别恶意软件的各种变种。但是从病毒出现到生成签名所需的时间从数日到数周不等。在厂商生成签名之前，恶意软件就可能拜访过您的网络，对手也可能已经来无影去无踪地在您的网络里安装好了新的后门。几乎所有的传统网络安全设备都对APT无效。只有相当屈指可数的网络安全平台能够在持续性威胁发作的早期作出正确预警。后文将介绍防御性欺骗的方式和方法，以及行业中的最佳实践策略，希望您能够在日常工作中借鉴这些经验。我们也希望企业网络的相关人员能够了解这些技术（或者更新他们的知识），在今后的工作中采取主动的态势保护信息安全。

本书组织结构
网络安全是个焦头烂额的苦差事？要是您不仅对安全防御感兴趣，而且更有意地去主动应对网络攻击，那么本书再适合您不过了。可能您在寻求网络安全领域的知识和智慧，研究涉及网络的法律，力图消除威胁的影响，谋求先发制人的网络安全——只要您的工作依赖信息系统，您就应该阅读本书。本书适合从经理到技术人员在内的各个层面的读者阅读。

本书旨在为网络遭受攻击，甚至被他人控制的读者提供锦囊妙计。本书涵盖了各种应对策略、建议和完整的解决思路。借助本书，读者可了解犯罪嫌疑人（或惯犯）的生态系统，看清他们无耻之处，并且掌握将他们驱除出网络的方法。作者大篇幅地介绍反间谍技术和实施欺骗战术的方法、工具和技巧，并且推荐了几种广为采用的分析技术。此外，本书涵盖其他书籍忽略的要点：如何与法律顾问（律师）一起工作，使用法律手段保护自己。

本书融合了最佳实践方案、工具、技战术和作者智慧，为主动对抗伺机作案和针对性威胁提供了全面的参考。请您把本书当作与专家共议入侵事件、共讨应对方案时的文字记录。

虽然本书主要面向IT安全的从业人员，但是我们已经尽力将它写得简明扼要，外行人在阅读时应该没有障碍。它帮助读者识别、侦测、诊断、响应安全问题，并且说明了相关行动的优先顺序。IT安全专家鉴别“不可探测”的威胁的方法；将威胁划分风险等级的标准；为各种单位（技术专家、现场测试、私人顾问或政府部门）量身定做的响应策略；涉及欺骗战术、反欺骗、行为分析的各种战术，以及业内流行的防范APT攻击的安全概念，都在本书中一目了然。

我们希望本书能够以全新的视角为读者揭示现在（或未来会）面对的持续性攻击，以全新角度通览对抗攻击的方法。通读全书，或单独阅读感兴趣的特定章节都各有风味。相信本书对各层次的读者都会有帮助。

作者希望能够分享他们的经验——累计长达100年以上的专业从业经验。书中的每个章节都贯彻有多名专家的思想；这些专家来自各行各业，他们之中有信息运营经理、反间谍专家、行为分析员、情报分析员和曾经活跃在20世纪90年代的黑客。得益于各个领域的专家团队的帮助，我们才能够出版这本介绍网络界反间谍知识的图书。

本书的开篇部分将介绍用于网络领域的传统军事欺骗和反间谍技术。欺骗技术和反间谍技术对每个单位而言都极其必要和重要。后续篇幅将带领读者逐步分析入侵者的动机和意图。在深入了解恶意网络行为的动机、因素之后，您也就能更好地了解威胁的本质。

读者在本书中也可以找到将对手引诱到空地，进行“猫捉老鼠”游戏的各种知识。所谓“老鼠”不仅指那些正在入侵的对手，也包括那些已经藏身于网络的对手。当然我们既要让他们原形毕露，把他们都收拾掉，又要揭露他们的动机和意图。读者可在第1章掌握APT的特征，了解入侵者获取、维持、恢复访问的方法，看看入侵者如何控制主机，甚至整个网络。在此之后，我们将结合军事学说，讨论情报工作的作用和APT的操作技巧。渗透网络，维持不被发现的访问权限，并能收集对象信息的信息战，就是高级持续访问（Advance Persistent Access），这也是世界各地首屈一指的情报机构的主要收入来源。

本书以网络战中的情报分析、反间谍情报工作为重点，介绍了分析入侵事件以生成高质量刑事分析报告的方法。这些内容将通过对犯罪的解读帮助IT安全专家辨别罪犯，从而帮助政府机构逮捕罪犯。本书也明确了对网络罪犯实施欺骗技术时，在当前法律和道德领域里将面临的问题。法律方面，本书对法律条文、证据保留、证据的保管链等问题进行了简单介绍，这些知识可以帮助执法人员处理刑事案件，但是本书的内容不足以替代职业律师在法庭上的作用。

我们相信在读者阅读本书之后，能利用欺骗战术最大程度地剖析案例。在利用工具武装自己的同时，也能更好地保护网络安全，让那些坏家伙们（黑帽子黑客）遇到的困难以指数的形式增长。谁让他们以政治、经济、个人地位为目的，攻击私人、商业财产来的呢！

本书分为三个部分。第一部分以介绍基本概念为主。

欺骗的历史；探寻其进入网络世界的渊源。
网络战与反间谍时代的兴起；了解相关技术如何影响每个企业、公司、组织、大学和政府。
反间谍工作的技战术及其重要性。
可起诉事件和不可起诉事件的法律解释与法律界定，如何判断是否值得进行刑事分析、欺骗行动、散布假信息。
第二部分讨论防御威胁的技术和方法，旨在指导管理员和安全人士的工作方法，但是更重要的是对他们进行积极有效的指导。

深层次地研究和应对高水平的入侵事件，以及入侵背后的黑客。
使用欺骗和假情报反击对手入侵，扭转局势掌握主动。
从精神和道德两方面入手，击溃入侵者的方法和策略。
了解网络犯罪行为背后的不同动机。
第三部分主要讨论如下内容。

案例研究：作者先前的经验，使用欺骗和假饵的方法对抗高级的威胁，并且对事件进行解读。
概念和方法：如何验证反间谍行动是否对风险或对手有效。
当您阅读本书时，不妨把它当作《成功的最佳指南——操作手册篇》这样的书来看。所有参与本书创作的人都彼此了解对方的专业领域。我们对本书的作用深信不疑：无论有多少持续性攻击、持续性威胁盯上了您，您皆可应用本书介绍的策略，在尽可能降低运营损害，并且尽最大可能挫败对手和入侵者的名誉的情况下，重新获取信息系统的控制权。

本书表达了各种恐惧、不确定性、绝望（FUD）8，因为在今天每个人都是网络攻击的目标——无论您是不是企业的利益相关人，是不是专业人士，甚至与您有没有一位专业人士的家人都没有关系。在今天的世界里，每个人都是威胁的既定目标，而这个威胁可能来自从“漫不经心”到“对您好奇”的持各种动机的黑客，甚至是有政府背景的高技能黑客。

最后，本书使用了大量缩写，其中有些缩写与军事或政府的白话或术语有关。这主要因为我们中的多数人曾经为国防部、司法部、情报背景单位工作过。

为什么您应该阅读本书？因为您使用连接到网络的电脑，在电脑上储存有高价值的信息；您的荣誉和钞票因此全在一场关于信息安全的豪赌上（我们有没有说过本书有很多FUD？）

译者注：无论怎么翻译exploit，其中文译文都是“漏洞的利用程序”这样冗长的辞藻。为避免长句引发的阅读障碍，译者保留了英文单词。实际上多数资料也都保留exploit这个词不翻译。exploit 是利用vulnerability（漏洞）的程序，通常实现越权访问数据、提权等功能。不是每个漏洞都会产生exploit，有些漏洞可能无法利用，最多就是个bug。所以，“程序存在漏洞”是“可以开发出exploit”的必要条件。
2译者注：“可观测量”的英文是Observables，译者借用了物理学上的这个术语。在物理学范畴里，人们可以经过一序列的“实践（物理实验、测量）”而得知一个系统态的某些性质。这些可以被认知的性质，称为可观测量。
3作者注：Course of Action，COA。本书会出现无数的军事术语的缩写。
4译者注：原文是networked knowledge而非network knowledge，网络上很多似是而非的翻译都是不正确的。作者解释说networked knowledge指代所有被网络连接的资源（服务器，甚至门禁等）和这些资源上存储的所有信息。很抱歉，译者可能翻译得不到位。
5译者注：Sean Bodmer就是本书的作者之一。“指挥官”一词的英文原文是“Commanding Officer”；这个词在央视历史节目中被翻译为“指挥官”，可是网络上也有“司令”的译法。它在本书后文也屡次出现，译者曾就此问题特地联系了Sean。Sean解释说，Commanding Officer是某些任务中最高的行政长官。由于文化差异较大，所以我们在本书采取了央视的翻译方法“指挥官”。如果将“最高指挥官”翻译为“战役（或项目）司令”，可能更易懂些。
6译者注：通常说的蜜罐是honeypot，本书作者之一Max博士研究的是honeynet，而Sean负责构建的是honeygrid。顾名思义，这三者的关系如同“河、川、海”，它们完全不在一个数量级上，而美国国防部的“蜜罐网格”对应其中的“海”。
7译者注：在跨国企业中使用传统欺骗和反欺骗技术时，很容易受到授权和其他复杂的管理关系的影响而无从下手。
8译者注：是fear，uncertainty，and doom的缩写。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。

目录
前言
第1章 网络攻击的现况
1.1 您听说过APT吗
1.2 APT定义
1.3 PT和APT的区别
1.4 APT和PT案例
1.5 小结
第2章 兵不厌诈
第3章 网络谍战
3.1 核心竞争力
3.2 在网络对抗中应用CI思想
3.3 稽查PT和APT
3.4 小结
第4章 刑事分析
第5章 法律行动
第6章 威胁（攻击者）谍报技术
第7章 欺骗实战
第8章 工具及战术
8.1 检测技术
8.2 基于主机的工具
8.3 基于网络的工具
8.4 欺骗技术
[8.5 安全贵在未雨绸缪](https://yq.aliyun.com/articles/102213）
8.6 犯罪软件/分析检测系统
8.7 小结
第9章 攻击鉴定技术
第10章 攻击归因
第11章 APT的价值
第12章 审时度势
第13章 实施及验证