近期熱播的《羋月傳》講述的是中國歷史上第一位太后的成長歷程—這就是歷史上的秦國宣太后。但是史書上并沒有記載這位太后的名字，只是說她姓羋。那“羋月”這個名字就是編劇隨便起的嘍?并不是。羋月這個名字來自秦兵馬俑身上的一處刻字。但是兵馬俑不是秦始皇的陪葬嗎?為什么上面會刻著他高祖母的名字?信息收集理由如下：

1、兵馬俑中出土了一件呂不韋造的青銅戈，但是出土位置比兵馬俑土坑高幾十厘米，根據墓穴中灰塵累計速度來看相當于累積了50年的塵土，往前推50年正好是秦宣太后建造陪葬墓的年代。

2、兵馬俑的發(fā)髻都是歪在頭的右邊，為楚國人的習慣。

[[158920]][[158921]]

3、兵馬俑身上刻字有：“羋月”二字，秦國姓羋并且有資格享有兵馬俑的，只有宣太后了。

如上述這些看似不相干卻又環(huán)環(huán)相扣的資料史實得出了得出了秦兵馬俑是秦宣太后的，而秦宣太后的名字是“羋月”的結論。當然，上述理由只是推測，兵馬俑的主人屬于秦始皇的說法還是主流意見。

我們這些看客，除了看看熱鬧，也可以了解下APT(高級持續(xù)性威脅Advanced Persistent Threat)攻擊的信息收集，猜測下看似和攻擊無關聯(lián)的個人和企業(yè)的信息收集，對完成黑客的APT攻擊有哪些幫助?其實信息收集是貫穿在APT攻擊的整個攻擊鏈中，在本文里討論在APT攻擊前期的對個人信息收集方式、作用以及防御措施。

用戶個人信息收集---提高惡意郵件成功率

在APT攻擊中，惡意軟件或者鏈接不會像普通攻擊模式采用遍地撒網的模式，而是會采用精確的釣魚模式，因此對選定用戶的了解是APT攻擊的前奏。由于社交媒體的發(fā)展，不論是從公開的渠道或者通過某些地下渠道，對個人信息的收集在現代社會是相當方便，例如通過Facebook，可以搜索姓名、出生日期及人際網絡;而Twitter很容易獲取用戶的興趣和追隨者;Linkedin上很容易獲得個人的工作履歷和教育背景等等，通過多種渠道信息收集，很容易勾畫出這些用戶的完善的信息。不管怎么說，這比從距今2200多年的兵馬俑身上找線索要更加方便和易于獲取。

這些個人信息的獲取，是為了釣魚郵件的主題和內容更貼近用戶的喜好，提高惡意郵件的成功率。

用戶終端信息收集---精確攻擊的前提

為了使得入侵滲透更加隱蔽，在APT攻擊中，采用的惡意軟件經常采用定制的模式，而這個定制的前提是要對選擇的用戶終端信息要了如指掌。通過采用釣魚收集信息的方式也大行其道，攻擊者通發(fā)送一個正常并且內容和對方愛好一致的網頁鏈接，用戶打開后看到的也是一個正常的和自己愛好一致的網頁，但是

1、 利用URL參數，攻擊者可以標記關聯(lián)的人，利用瀏覽器本身支持的功能可以收集用戶使用的操作系統(tǒng)、瀏覽器和版本的信息，甚至還可以利用創(chuàng)建對象和路徑加載探測技術，準確判定跳板安裝的各種應用環(huán)境，特別是安全防護軟件和本地應用。

2、 在攻擊過程中，攻擊者同樣會采用多種手段收集目標企業(yè)的IT信息，包括使用的軟件類型、網絡架構、IP地址、web服務器信息、虛擬機信息以及硬件類型等等。

用戶終端信息的收集，是可以用來指導攻擊者開發(fā)精確攻擊和繞開常規(guī)檢測的惡意軟件。

如何防御信息收集---人的安全意識最重要!

在APT攻擊中， 很難防護黑客組織對信息的收集，一方面是由于這個過程基本是悄無聲息，另一方面是這些信息不受控制，用戶不僅隨時隨地的把個人相關信息發(fā)布在社交媒體上，甚至還將公司的一些敏感信息發(fā)布在公開的媒體上，這使得信息收集過程快速而有效。這也體現了在安全領域，其實最重要的安全要素是“人”，只有人的整體安全意識得到提高，對攻擊的防御才會更有效，黑客的攻擊成本才會大幅度的提高?？梢娭芷谛缘募訌妼T工安全意識培訓，提高用戶安全意識是防御任何攻擊的第一道防線，在對抗APT攻擊中，人的安全意識尤為重要。

在用戶提高網絡信息安全意識的同時，華為CIS大數據安全威脅檢測系統(tǒng)，能實現秒級智能檢測異常行為，從而實現精確預警，有效的縮小了檢測與響應的時間窗，能顯著的降低攻擊損失，有效發(fā)現APT攻擊的感染路徑和感染設備，最終通過終端探針，實現快速清除風險，一鍵自動隔離和修復感染終端。

防御不能100%完美，APT攻擊也不可能100%完美偽裝，CIS也是要在海量的信息中找到APT攻擊的短板，進而挖掘整個攻擊鏈的信息，從而有效的實現對APT攻擊進行檢測。華為CIS大數據安全威脅檢測系統(tǒng)，能在收集存儲全網流量的元數據的基礎上，以威脅情報為輔助，對實時的和歷史的數據進行分析，這種檢測模式，不側重依賴于APT攻擊鏈中任何一個環(huán)節(jié)，但是只要APT攻擊在任何一個環(huán)節(jié)有紕漏，都能保證有效的被檢測。在檢測到APT攻擊后，通過安全專家的參入，能生成有效的威脅情報，通過共享機制，將威脅情報共享給全網的安全設備，實現動態(tài)防御，提高安全管理效率，增強APT防御能力。