分类 生活类 下的文章

新Xss平台公测

新Xss平台公测,以前有过skyxss.sinaapp.com这个平台账号

的用户请按照格式发送邮件到sky@03sec.com

 

旧账号:旧平台账号 旧邮箱:旧平台账号设置的邮箱 接收邀请码邮箱:xxxx@xx.com

旧平台账号和旧平台设置的邮箱必须选填一个,不可不写,可俩个全写。

 

 

以前没有旧平台账号的朋友可以发送个人原创xss入侵成功的案例文档到sky@03sec.com

一篇文档换一个邀请码

新平台账号将会晚点公开发布邀请码

美国人吓尿了!在美流传的惊心动魄的中国高考照片

这些天,有二十几张中国高考的照片在美国媒体间广泛流传,尤其是俗称高考工厂的衡水中学,学生每天要从早上五点半学习到晚上九点五十,不能拥有手机,每个月只休假一天,教室里还安装着监视器看哪个孩子偷懒了等……

学生

凡此种种引发了很多美国网友的热议,以下特别翻译几个有代表性的。

“你是在说,中国的这些孩子们整个青少年时代的每一天就是从早上6点到晚上10点学习,准备一个考试,结果只是熟练掌握了数学、科学和语法,却不了解这个社会,不知道怎么和人打交道,然后在一个公司的格子间做个职位终老一生。上帝保佑中国的孩子们。”

“这在美国就涉及虐待孩子罪了。你没看到一个被采访的前衡水中学学生对记者说:“我只有三、四分钟吃晚饭。”这要是我的孩子……谁给了他们权力剥夺我孩子休息的权力了?”

“这么重要的考试也作弊造假横行,看看那些高科技手段。我觉得中国的教育更需要教会孩子做人。”

“以前羡慕中国孩子的数学能力,现在不羡慕了,这种变态重复换来的能力没有什么用处,难怪他们只会模仿没有创新。我更希望我的孩子接地气一些,知道怎么获取知识,也知道怎么养活自己。”

“中国自杀率本来就高,并有连年上升的趋势,肯定和这种用两天非凡强度考试来决定命运的做法有关。这样的考试对学生的压力太大了,让每个中国孩子的青少年时代都是灰暗的。”

“为什么要一边吸氧一边学习,这种做法很变态。是生病需要吸氧?还是用吸氧改善学习?生病应该治疗休息,没病吸什么氧?作为一名医生我对这个事件很关注。”

…………

等等,实在不想多翻译下去了。无论是曾经经历过高考还是刚结束高考的童鞋们,你们说呢?

以下是美媒流传的中国高考照片

高考今年中国有980万人参加高考,相对应全球只有180万人参加俗称美国高考的SAT

高考东莞大学的英语考场

高考山东美术考场

高考安徽合肥一位紧张等待的母亲

高考安徽:成千上万的人欢送前去高考的学生

高考在上海一个考点附近的酒店休息的考生

高考四川遂宁考场里到处都是监视器

高考学生每天要学习15个小时

高考安徽一所学校的晚自习

高考等待的父母

高考如此减压

高考武汉:向孔子像祈愿

高考沈阳:严格的安检,比美国上飞机都严格,因为高考抄袭作假行为太泛滥

高考作假的工具很高科技

高考眼镜里的接收器

高考四川还有更复杂的设备

高考没收的手机和接收器

高考河北衡水2中高考宣誓

高考拥挤排队登记参加高考的学生,警察在维持秩序

高考拥挤排队登记参加高考的学生,警察在维持秩序

高考首日考试完

高考监考老师要严格核对照片

高考一边吸氧一边学习

近期清除掉的友情链接

今儿检查了下友情链接,发现以下站点没有对本站进行友情链接,所以已经清除,如需挂友情链接,请回复本帖子

沉船驿站   >>>>>未挂本站链接

小鑫'Blog  >>>>站点打不开

流亡青年  >>>>>未挂本站链接

船长哥哥  >>>>站点打不开

风骚程序员  >>>>站点打不开

脚本大神 >>>改版

 

 

 

[转]黑客的暴利生意:没有信仰,只有丧心病狂!

2011年12月21日上午,有黑客在网上公开了中国最大的开发者社区CSDN网站的用户数据库,600余万个注册邮箱账号和与之对应的明文密码泄露;12月22日,网上接着曝出人人网、天涯、开心网、多玩、世纪佳缘、珍爱网、美空网、百合网、178、7K7K等知名网站的用户账号密码遭公开泄露。

堪称中国互联网史上最大规模的据业内人士说,此次事件突破了以往黑客界的底线:只炫耀比技术或挣点小钱,不流传不散播。用户信息泄密事件,再次让大家对黑客以及其背后的隐秘的产业链产生了浓厚的兴趣。以下为一个黑客的口述。

 

盘下一家肯德基的“教主”

那个靠做黑色产业发家,后来洗白,花800万元盘下一家肯德基店的人,我们叫他教主。

教主是海南人,1987或者1988年出生,身材瘦小,皮肤偏黑。他年纪虽然小,但是舍得花钱,很大气,做事也很老到,2004年左右(16岁)看他跟人打交道就非常成熟,很难想象是什么情况造成他这种性格。

2003年年底,我加入了一个QQ群,那个群当时在技术性入侵领域很有影响力,无数人想进入,可以说是一位难求。群里的聊天记录每天能有3000页,大家都非常纯真,纯粹是为了交流技术。2004年,教主可能在黑客基地报名学了点简单的东西,但是学得又不太明白,他进入了这个群。在群里,我亲眼见他和群主讨价还价买卖17173(一个游戏门户网站)的权限,群主开价700元,教主说我就500元,一年半以后,同一个权限有人开价15万元购买。

那个时候,大家都没想到靠17173的权限还能赚钱,说白了,其实就是获得网站控制权,挂马,然后获得用户账号密码去网游《传奇》、《魔力宝贝》里盗号。后来我找人打听了一下,教主这单可能赚了两三万块钱。

教主真正开始立业,是在2004年时去做中国台湾的游戏市场,他是先行者。他自建渠道,跟台湾当地人合作,在盗取网游账号后,由当地人负责卖游戏装备,交易的钱被汇入当地人用假身份证开的账户里。从2004年下半年到2005年上半年,教主在台湾赚了估计能有500万元。台湾人被搞怕了,后来很多网站都禁止大陆人访问。后来教主又去做韩国和美国的游戏市场,等到他2008年洗白那会儿(20岁),赚了绝对不少于2000万元。他是一个很高调的人,经常在群里说他去哪个国家玩了,买了多少栋房子,买了什么车之类的。

教主的技术并不高超,但他有商业头脑。不从技术角度出发,纯讲入侵水平,国内黑客一直都不弱于世界顶尖国家,可能比美国、俄罗斯还要强,中国人能算计,在入侵思路方面比较聪明。

我亲眼见过一个例子。2004年年底,有个黑客端着笔记本电脑进了一家五星级酒店,第二天他出来的时候,电脑里存着这家酒店所有的客户数据。这是酒店竞争对手给他下的单子——把客户都抢过来。从谈判到见面交易我都陪他去,后来这批数据卖了129万元。

还有一件事也是我亲眼所见——在电商网站抢单。长沙有一帮人,在各大电商网站的数据库里装后门,实时在本地更新数据库或直接进入电商网站后台看数据。他们一般挑货到付款的顾客,只要一看到有人下单,立马在最短时间内发货,动作比电商网站的物流快,冒充该网站让顾客签收。等顾客下单的货真正到的时候,他肯定就拒收了。这伙人专挑服装、成人用品、减肥用品这些出货量大的品种,每个网站偷三五单,网站很难发现。但他们在四五十家网站偷,一年下来净利也有2000多万元。

比这更黑的生意是通过网银或信用卡偷钱,但也更危险。很少有人敢在国内做,我以前有两个手下因为做这个,现在还在牢里待着。我知道有个人在澳大利亚偷中国国内的网银,他雇了一些台湾人和香港人来大陆,每个月付他们一万块钱,让他们帮忙取他从别人网银账户里转过来的钱。他曾经截过一张图给我看,那是他弄到的一张银行卡的打款记录,卡主人每个月的打款金额都在1000万元左右,我记得很清楚有一笔是打给台湾一家唱片公司的,备注里写着“周杰伦演出费”。银行的U盾有没有用我不知道,我自己用的是工行网银,之前我试验了一下,至少一代U盾算法不强,是可以复制的。据奇虎360统计,国内仍有83%的网站存在漏洞,34%为高危漏洞。”]

网上流传赚5000万元的黑客我没见过,但赚1000万元的不少,我在北京有很多这样的朋友,他们大多没有正经工作,也不出名。但说句实在话,他们都是打工的人,这条产业链上真正的大鱼是渠道商。有人给渠道商下单了,他们就会雇一些人来找黑客谈价钱,这都指不定倒几次手了,可惜我没有接触过渠道商。

中国黑客在韩国闹得也很厉害,韩国现在被搞得比台湾当年还要风声鹤唳草木皆兵。我手里有4000万韩国网民的数据(2011年韩国人口总数5051.5万),而且他们实行实名制。

黑客圈生态

我是上大学以后接触黑客圈的。我遇到了很多拿个简单工具到处攻击的菜鸟黑客,我在研究他们的同时对黑客技术也有了些兴趣,心想“不过如此”,之后我就开始自己下载工具,给别人装个木马闹着玩,吓唬吓唬对方。再往深里研究,我慢慢接触到了一些扫描器、入侵工具,自己也到处看一些相关的原理,因为我大学读的是数学,跟计算机关系比较大,一年之后,我差不多把入侵需要的东西全学会了。那时候我就算是圈里人了,每天跟一个小团体在一起探讨技术。

后来,有一个叫孤独剑客的人开了一个网站“黑客基地”,我就去聊天室里当讲师,给别人做VIP培训,讲入侵,每周一节课,他们一节课给我200块钱。那个时候也没有什么法律观念,每节课都拿别人的网站做试验。比如这节课我要讲这个漏洞,我就去找符合条件的网站,先把漏洞留好,讲课的时候现场入侵,一步步解说,工具发下去之后再把步骤说一遍。当时祸害了不少网站,我印象里有网易的分站。

但实际上入侵靠的是经验,灵活应对各种情况,比如快速判断这个地方会不会出现弱口令、有没有验证等。技术手段说白了,如果天天学的话,两三个月足够。现在高明的攻击手都不会那么累,他会使用社会工程学的一些方法,比如他通过跟你聊天知道了你们公司的部门组成,如果你们是按部门排座位的话,他接着就能推算出你们的网络构架,他的攻击能变得更加精准;再比如他通过挂马获得了你们老板邮箱的账号密码,他用这个邮箱给你们的同事发一封邮件,要求获得网络管理员的账号密码,基本员工都会中招。当然,技术高超的攻击手能解决一些更复杂的问题。

挖掘漏洞的人是我最佩服的,因为他直面系统。这是一个非常非常枯燥、我看见就想吐的活儿。圈里有名的一位挖掘者,三个月不出门,全吃方便面。所以擅长挖掘漏洞的人都不擅长入侵,因为他没时间。

黑客圈其实也是拼人脉的,因为得拿到漏洞才能由程序员去制作入侵工具,你人脉广,才有人愿把漏洞送给你或跟你交换。圈里把没公布的漏洞叫0DAY,如果刚好赶上这个网站有0DAY漏洞,也许我一秒钟就能把它搞定。一个0DAY漏洞能换50个普通漏洞,拿去卖市价可能有几十万元,还有一些女黑客为了骗0DAY漏洞情愿跟人上床,所以圈里人也把我们这个圈叫“娱乐圈”。

我在“黑客基地”讲了半年课,技术提升比较快,因为给别人讲东西自己得先会,一些以前没注意的东西,在讲课的过程中重新学习到了,慢慢地我在圈里有了些名气。大学最后一年,我想赚点钱,刚好有人给我下单子,让我去一个全国性网站挂马。他收我“信封”(一个账号加一个密码叫一封信),一封一块钱,我一周大概有700-800元的收入。然后,他拿这些账号密码去《传奇》里面撞库盗号。

@爱极客:#快讯#【年度了 请善待程序员 圆通新浪等网站被黑】据QQ群报,圆通速递、新浪教育被黑,目前黑马依然可以访问,同时留下“just for fun”等字样。居然有人回复:“尼玛风声紧,你们就不能低调点?”

2004年,我从河南、安徽、广东、辽宁一共凑了9个人组成工作室,我们租了个100平方米的房子弄成上下铺,两个带媳妇的住两间,剩下5个人住单间。我们分头去攻击网站,靠得来的账号密码去网游里盗号。我们中有人能挖浅显的漏洞,但系统漏洞挖不了,写程序的也不多,入侵工具我们宁愿去买,稳定性比自己做的好些。我们当时还特意分出来一个女生管后勤。

2005年左右,我不太想做这个了,圈子里其实很多人都在偷偷摸摸地做,但都不好意思说出来,怕别人鄙视,说你怎么玷污了我们的精神?那个时候大家还信奉有什么东西就得公布出来共享,入侵一个站点大家一起玩。其实我自己也是那种很纠结的心理,搞技术的还靠这个赚钱?但后来发现,都他妈有人赚几百万了,我想想,还是偷摸着回去搞吧。

黑客产业在2006年的时候最凶猛,国内国外都凶猛,韩国、巴西、越南的网游市场都被中国黑客搞过,我记得我还搞过马来西亚的。后来有个国内网游公司的工作人员跟我说,马来西亚市场运营得不怎么好,自从某月被批量盗号后就不行了,我心想这事儿我多亏没跟你说。马来西亚代理公司的老板给我打电话,说我每个月固定给你钱,你别搞我们了,我们也快不行了??那时候法律还没管到这块,他抓不了我。

我做这行属于断断续续的,比如这个月赚了50万元,那我就出去玩,花光了回来再做,如果按全工作时算,前后可能也就干了三四个月,加起来也就赚了200来万元。这种钱花得可真快,动动鼠标就得到的我不会珍惜,我和女朋友出去玩都是住五星级酒店,有时候懒了经常跨省打车。

后来我女朋友说,我们要结婚了,你别干这个伤害人的事情了,于是我就彻底退出了。

没有信仰,只有丧心病狂

从中国有黑客开始,我就开始接触到一些网站的用户账号密码库,它们明文保存密码,真是脑残的行为。但以前我都是乱扔,新浪、天涯的我都直接删了,心想哪有硬盘存这些东西,那时候没有远见能看到这些也是能卖钱的。

中国黑产圈子里的人有些丧心病狂了,讲道义、讲信用的人很少,大家都没有信奉的规则,明的暗的都没有。中国为什么没有维基解密?因为大家都没有信仰再加上文化程度低,很多人连世界观、价值观都没了,当他们碰上法律不健全、看似自由的网络世界,这个圈子能变成什么样子可以想见。

当年我做黑产的时候,经常几个人在一起讨论:哎呀,真堕落啊,我们干这个!但年轻人,没有那么多是非观念,我们甚至在盗取一个网游账号后会这样安慰自己:又拯救了一个网瘾少年!

我现在也没什么理想和信仰了,以前还会有一种精神,想在中国黑客圈占有一席之地,我分享一些东西,让大家觉得你这人值得尊敬,我会有一种成就和满足感。但是2006年之后,这个世界就变了,从业者增加了,我现在认识的这些人,基本都是在2005年之前就接触过,2005年之后才进入的,我一个都不认识。

CSDN树大招风,它的数据库当年人手一份。今年年初我开始有意收集能接触到的各个数据库,想着以后还能写本书,证明自己当年也牛逼过。当时有人想50万元预订我这些库,我说不卖,我知道你想干嘛,不就是写个程序然后找网游挨个盗号嘛。所以这次账号密码大规模泄露,还代表着新一轮的网游盗号狂潮要到来。

我还是怀念当初的那种日子,去名人的邮箱、网站看看,在群里贴贴王力宏的ICQ聊天记录,能知道别人不知道的信息就是一件很幸福的事情。

 

思科内部安全团队解读APT

近日FireEye上市大热,360公司也要推出APT防御产品。在APT的战火已经烧到天朝之际,且看看思科自家的安全防御团队CSIRT(response to cyber security incidents for Cisco-owned businesses)在2011年时对APT的认识与理解,其中对APT的防御的总体思路,与当下Mandiant、FireEye等炙手可热的APT公司的策略不谋而合。当时概念时至今日仍然一针见血。

在久远的那个年代,人们想窃取企业的秘密是需要“物理接触”潜入偷取数据,想想“潜伏”连续剧里头,“余则成”用个迷你的照相机拍下国军的XXX名单。然而,互联网时代已经颠覆了这个久远年代的概念。要曝光组织的敏感秘密,已经不再需要物理接触了。今天,这个战线已经沿及到所有的计算机终端、桌面电脑、移动手机、web服务器和网络设备——所有整个相连的网络。这个互联网时代已经把坏人以及他们的目标以新的方式和不可预见的趋势绑在一起了。而使事情糟糕的是,通常这个网络生态系统并不如以前物理环境那么好的被保护起来。

无产品可防APT

谈到APT,首先,这里需要先弄清楚APT的神秘何在。如果任何人想向你的组织推销一个软件或者硬件去解决APT,那么他们根本不懂得APT,或者不真正的懂得计算机是怎么工作的、或者他们在说谎来推销——也很可能三者都是。如果是有一种方法可通过部署个ASIC的硬件、或者软件的signature去识别、检测APT,那不是高级持续威胁(Advanced Persistent Threat),那只是个EDPTD(Easy to Detect Persistent Threat for Dummies)容易被识别的蠢货持续攻击,或者只是个烦人的持续攻击而已。很不幸的是,很多安全销售人员正乘着这种攻击的极端性和复杂性,去销售不奏效的的APT防御产品。

如何防?

当时2011年最好的阐述APT的文档莫过于当时的“Google Hack”和“Aurora”,这些APT中使用了多个未知的,无法识别的的0day,并且在企业里,隐藏在众多的传统恶意软件里面。当这些神秘的APT曝光于公众后,众多CSIRT的成员都在议论,可以做点什么。其中有一种声音“我们总是把受感染的机器拿去重装一下,以降低风险和影响。而现在,我们更关心的是此举可能已经销毁了唯一的线索,或者更深入挖掘系统问题的证据。而这个系统问题除非被修复,要不仍然会一次又一次出现。到底一台需要深入调查取证和监控的受APT攻击主机跟一台扔去重装的普通感染机器有什么不同?怎么可以区分出来?”这个答案至关重要,但是可笑的是像很多好的和重要的问题一样,是没有一个简单的答案可以回答的。正如前文所述,是不存在通过一个魔法般的软件可以解决这个难题,而且通常非常难区分普通的恶意软件和更高级的攻击。而APT就像其他很棘手的问题一样,解决方案可能很复杂,但是解决方法论却很简单——识别出你可见的项目,并执行之。( identify what your available options are and then execute)

重点人群,重点跟踪

为了阐明这个方法论,接下来将有一系列的例子,在思科平均起来有12万台windows机器连接到桌面网络,里面肯定有一定比例的机器饱受恶意软件的折磨。当然CSIRT团队是无法对所有受感染的机器都进行深入的取证分析,网络记录及分析。然而不代表不能对其中一部分做分析。3年前(2008年)CSIRT就定制了一些程序,对一些筛选过的员工进行深入的网络分析和系统取证工作,而这些员工都是被认为可能成为APT攻击目标的。CSIRT团队看到这些人当中有一些访问过更多有趣的数据。对这些人群,CSIRT团队进行完全的跟踪,和更多高级的监控和调查工作。而这已经成功发现和阻止了一些APT性质的活动。但是是否发现和阻止了所有的这些活动?很不幸的答案是“没有”。CSIRT团队有了很有价值的数据,以及记录了这些高级和持续性的威胁。遗憾的是CSIRT团队中断了部分的尝试,但并没有完全阻止到这些攻击。

另一个例子,当今很多APT攻击都是用PDF来展开。这个攻击手法有很高的成功率,如果你有能力,可以抓取和储存起所有通过email进入你们公司的PDF文件,当然要连同这些email通信的SMTP头信息。定期的,自动化的进行额外的检查,这种检查需要比常规的防病毒方案更进一步,以帮助检查恶意PDF。(例如PDF是adobe的零日漏洞利用,内含恶意链接自动访问恶意链接)。即使常规的防病毒无法检测盒阻止这些威胁,这些“威胁”往往可以在漏洞利用的关键字作修改,或者运行多个杀毒引擎进行扫描免杀。而这里只是两个简单的例子。

大绝招

其实,大多数公司能够检测发现和响应这些或者其他一些高深的攻击,是全凭有效的部署了一系列很好被理解的计算机安全事件响应“柱子”。

    首先,你必须要有能力“生产”、收集和查询日志,越多越好,起码要包括从安全角度认为重要的那些日志。例如,主机日志、proxy日志、认证日志、属性日志等。

    其次,你需要DPI(deep packet inspection)深度包检测来覆盖你网络中重要的关键节点。

    第三,你需要有能力快速的查询你网络的中的连接或者流量情况,可以通过netflow或者类似netflow之类的服务来覆盖所有网络的关键节点。

 

    第四,分析人员。对于这三个重要的防御工具(日志、DPI、连接记录),你要保证有查询历史记录,查询实时记录,以及在未来事件中进行告警的能力。而把这些都运作起来,你需要分析人员和调查人员进行大量的监控和深入的调查工作。这个团队以及他们的监控基础设施必须要有快速的应变能力适应当今的威胁。

    第五,情报共享。在尽可能的完成以上所有的工作,你还需要和其他组织发展起可靠可信的关系,来共享安全事件情报。这是个很长的过程,需要你主动的投入资源和用心经营。一个比较好的开始就是加入像FIRST.org这样的组织。FIRST的宣言是帮助减少这种类型的信息共享过程中的障碍。当所有以上这些“柱子”能够以有意义(meanningful)的方式聚合到一起。一旦你在潜在的共享消息当中获得了情报,必须强调你需要立即快速、敏捷的组织起这些情报。并确保你已经完成,百分之一百的覆盖了上面提到的工具,来进行调查、行动。而这些就是你能够为组织对抗APT所能做最重要的事情。

最后,你需要在组织内或者雇佣一些外部的专家进行恶意软件分析。例如前面提到的那些PDF样本,一旦你发现了其中的一些恶意样本,你需要对它进行解剖、分析,了解它打算做什么,谁是被攻击的目标,它曾经连接到哪里。这些分析都提供了最有价值的情报,展示了你的公司今天如何被攻击的。你就可以把这些相关的情报,立即传回到上面所说的监控基础设施中。这些一直部署在你的企业网络中的防御监控设施将可以让你完整的理解这个攻击历史的影响,以及立即知道其他可能类似的感染情况。并且可以对即将发生的攻击敲响警钟。但是,不得不说的是由于APT的天然特性总是会努力保持攻击的唯一性,下次可能就是不一样的攻击特征了,因此任何的情报都会有个有效期。

你会是APT的目标吗?

关于APT,另一个我经常听到的问题是“我怎么知道我的企业组织是否受APT影响?”去证明那些有宏厚资金支持的攻击入侵行为的证据往往很难发现,如果要说出根源的攻击者,那就更加难了。那个连到未知网站的连接?它是我们看到恶意软件最开始的连接。还有那些常见的垃圾邮件证据和其他犯罪集团的僵尸网络,又或者是更一个更严重的——公司数据成为了目标被瞄准?这个问题的答案同样是个很不幸的答案。正由于前面所说的现在社会已经不是“余则成”的年代了,网络无处不在的连接着,其中恶意软件盛行,软件/硬件漏洞众多,如果你的企业有一些电子形式的东西可以被卖掉,又或者任何经济利益,那么很不幸的告诉你,你正被瞄准成为目标了。那些精准和持续的攻击直接的指向有价值的数据。在这里举个例子,埃克森多年来勘探石油和天然气的及其昂贵的数据被公开讨论,这个例子就是高级持续攻击窃取的宝贵一棵,这样的数据,无论是谁拿到都是无价之宝。

另一个经常听到的问题是,“谁要为这些APT的攻击负责?”很不幸的对于企业来说,这个问题的答案是,如果没有更多真实的资源,那么承担APT法律责任的后果将比想象中要轻微。但愿这种形势会改变,但愿日后这种类型的攻击者最终会得到惩罚。准确的提取出攻击者往往很难。侵略者的名单已经越来越长(这种情况从这几年来已被公开的为大众所知的攻击组织数量可见一斑)。从HBGary的email被泄露事件看,出现了专业的APT攻击服务已经不以为奇了。

综上所述,APT攻击不容易被察觉,而且比想象中要普遍和严重。公司、组织都面临着极高的风险,需要高级的监测能力。通过这个文章想表达的是如果你看不到你的组织受APT攻击,那并不是因为它没有发生或者你很安全。而且你应该好好重新评估一下你的监测能力,目前应对APT的工艺水平还不涉及到那些神奇的软件和硬件解决方案,(当然这是2011年时候的观点,那时候防御APT的产品还没有现在这么成熟,但另一方面看,比照起国内目前状况,大宋国的2013年的APT产品等于大辽国的2011年的形势其实也不为过。)而是更多的有赖于提出正确的问题和有能力有效的利用现有的监测工具(例如logging、netflow、IDS、DPI等)。同时事件响应无法去解决APT的问题,但是非常重要和必须。你能有更好的架构去控制好你数据,你将减少你被入侵暴露的风险。这个问题的当务之急是当前的战线都是在公司层面的,但是只有结合公开的和私人的合作关系,拉通到国家层面的影响后果,才能真正解决APT的长远的防御问题。