但客户这种认为APT是一切的认知也不能说错，因为有个好处就是说，客户有这种要求就逼着安全厂商反思他们自己以往基于特征码的防御方法是不是远远落后于时代。从负面上来讲，也会导致企业重点没有放在他应该关注的地方。比如说企业本身可能连市场管理也没做好，就一天到晚就想怎么防御国家级别的APT，这是本末倒置，所以我觉得APT有个负面作用就是说会导致客户对安全产品效果的期望会产生一些不切实际的幻想。

APT与常规攻击的差异

当然APT引人注目地方除了他的目的跟常规攻击有差异之外，还有个主要因素就是这个攻击跟以往的单一一次病毒感染文件的做法是完全不一样的。它相对来说手法比较复杂，周期也会很长。它可能会早期扫描你的网络设备的脆弱点，通过它们来选择比较合适的进入方法。之后它会有比较长的潜伏期，潜伏期后会找到你相应的敏感数据，然后再通过这种远程控制端的控制指令，定期把敏感的数据送回去，所以这会有一个比较长的攻击链模型。这张图我们贴的就是攻击链的模型，一般来讲我们的威胁情报里面会有各种最新APT的总结。

对于最新的APT，我们有个词叫TTP（Tactics，Techniques and Procedures）。以往来讲我们把APT做了很多细分，除了防御目的以外，还有一个主要目的是通过TTP能够识别APT后面来自哪些组织、哪些国家。而其实最近几年TTP各家已经开始做的很类似，这不管是有意还是无意，都导致通过TTP来分辨APT组织越来越难做。

APT带来的安全产品设计思路的变化

APT除了对客户的防御产品的预算和产品定位造成变化之外，其实还造成了理念上的变化，因为2010年的时候只有一家FireEye查这种APT攻击，当时他的方法一点都不新，是属于各家安全厂商里面都懂的技术——沙箱，只是以往我们将沙箱放在后台做分析，从来不把分析结果和部署放在用户企业环境里面。

他的思路和其他的不太一样，他觉得当时这些企业运维人员技能已经有了很大的变化，不像以前使用杀毒软件的小白用户，这些运维人员懂安全，甚至看得明白这种威胁病毒的分析报告。所以他觉得既然用户能看得懂，不如我把整个产品的决策权下放给用户，不用什么事情都走以前的流程。比如说我必须把一个APT样本送回我的总部，总部再来分析。这有个客观原因就是由于企业处于敏感考虑，他可能不允许把这些样本送回总部，所以导致了新的产品思路，就是说我可以让用户做安全运维安全的判断，来作为一个安全防御的主要协作方，不是什么事情都由安全厂商来做，而是有很大一部分我可以让给用户来做。

而且一旦按照这种思路往下走，就意味着这个产品能开放出很多新的功能点：1，我会加很多分析能力在里面；2，非实时；3，需要用户更多精力投入。

当然这有个核心问题就是：如果让用户来花精力投入，我该让他每天花多少个小时，花多少人员投入？这个对于我来说是比较微妙的度的问题。

用户资源投入的问题

这方面有很多极端不计成本的例子，比如这张图里面是NSA2007年暴露出来的防御系统，他们对于简单的攻击手法还是用商业的软件，就是黄色那一圈。对于比较复杂一点的方法他们可能会由他们自己花钱建立一个系统，最右上方里面是他们基于威胁情报，他们叫sigint。其实这是他们自己的威胁情报跟分析系统结合的一个例子，我们现在很多新的系统也在往这方向靠，当时这套系统的开发成本是非常高昂的，只有NSA这种不缺钱的单位才能用，如果我们一些企业里面要花这么多成本，肯定没法跟董事会交代。

所以大家来退而求其次，企业会说我接受数据可能会被泄露的一部分风险，并把风险量化，是可能亏100万还是亏1000万？而且会针对量化的风险来决定投多少钱下去，所以按这种思路我们也有些比较类似的产品在往这个方向走。当然我觉得目前所有的产品形态和功能离做得很完善还有比较大的距离。