關于友(yǒu)商360曝光的“海蓮花(huā)（OceanLotus）”相關攻擊是不是APT攻擊的争論，我要鄭重談談幾個(gè)觀點：
第一，相關線索的比對說明(míng)，安天5月28日曝光的APT-TOCS（參見我前面微博）和(hé)360曝光的海蓮花(huā)基本可(kě)以确定是同一個(gè)或關聯性組織發起的同一組定向攻擊事件。安天初步認為(wèi)其來(lái)自“缺少(shǎo)足夠的成本支撐，也缺少(shǎo)大(dà)量精英黑(hēi)客的國家(jiā)或組織”。當然因兩個(gè)廠商資源體(tǐ)系不同和(hé)産品定位差異，我們并未逐一對友(yǒu)商的統計(jì)結果和(hé)IOC進行(xíng)驗證。
第二，APT本質上(shàng)不是一個(gè)嚴格的技(jì)術(shù)概念。其判定要綜合考慮發起方與動機，受害方與後果，作(zuò)業過程與手段三方面的因素。因此，在前兩個(gè)要素符合的情況下，APT的核心表現應是在明(míng)确的背景和(hé)動機下的定向與持續的攻擊與獲取行(xíng)為(wèi)。而其A（高(gāo)級）沒有(yǒu)絕對标準，其即受到攻擊發起者所具備的技(jì)術(shù)能力、資源和(hé)所能承擔的成本限制(zhì)，又由攻擊者根據被攻擊者的防禦與發現能力選擇的針對性策略所決定。因此APT通(tōng)常反映了攻擊者在本國或本體(tǐ)系中的高(gāo)層級水(shuǐ)準，也體(tǐ)現的是相對防禦目标設防水(shuǐ)平的穿透和(hé)持久化能力。之前某國際研究者提出把是否有(yǒu)0day等作(zuò)為(wèi)判定依據，這種觀點我不敢苟同。
第三，根據我們的監控分析，商用木馬、标準化的滲透平台等已經被廣泛用于各種定向持續攻擊中，特别是針對中國的攻擊中，盡管我們非常謹慎的把APT-TOCS稱為(wèi)“準APT”攻擊，但(dàn)需要注意的是，對于攻擊成本能力有(yǒu)限的國家(jiā)和(hé)組織來(lái)說，這種模式可(kě)能是成本更低(dī)，但(dàn)效果更可(kě)靠的選擇，但(dàn)這就是其能力體(tǐ)現。同時(shí)商用木馬、開(kāi)源木馬和(hé)攻擊平台的引入，将導緻依托大(dà)數(shù)據分析來(lái)辯識線索鏈的過程中産生(shēng)更多(duō)幹擾項，包括使我們之前使用過的“編碼心理(lǐ)學”等方法失去效果。
最後想說明(míng)的是，盡管在反APT産品上(shàng)可(kě)能與360存在一定競争關系，但(dàn)雙方對APT的理(lǐ)解目前看是一緻的，在這個(gè)問題上(shàng)我認為(wèi)需要共同維護正确的安全理(lǐ)念。