關于友商360曝光的“海蓮花（OceanLotus）”相關攻擊是不是APT攻擊的爭論，我要鄭重談談幾個觀點：
第一，相關線索的比對說明，安天5月28日曝光的APT-TOCS（參見我前面微博）和360曝光的海蓮花基本可以確定是同一個或關聯(lián)性組織發(fā)起的同一組定向攻擊事件。安天初步認為其來自“缺少足夠的成本支撐，也缺少大量精英黑客的國家或組織”。當然因兩個廠商資源體系不同和產(chǎn)品定位差異，我們并未逐一對友商的統(tǒng)計結果和IOC進行驗證。
第二，APT本質上不是一個嚴格的技術概念。其判定要綜合考慮發(fā)起方與動機，受害方與后果，作業(yè)過程與手段三方面的因素。因此，在前兩個要素符合的情況下，APT的核心表現(xiàn)應是在明確的背景和動機下的定向與持續(xù)的攻擊與獲取行為。而其A（高級）沒有絕對標準，其即受到攻擊發(fā)起者所具備的技術能力、資源和所能承擔的成本限制，又由攻擊者根據(jù)被攻擊者的防御與發(fā)現(xiàn)能力選擇的針對性策略所決定。因此APT通常反映了攻擊者在本國或本體系中的高層級水準，也體現(xiàn)的是相對防御目標設防水平的穿透和持久化能力。之前某國際研究者提出把是否有0day等作為判定依據(jù)，這種觀點我不敢茍同。
第三，根據(jù)我們的監(jiān)控分析，商用木馬、標準化的滲透平臺等已經(jīng)被廣泛用于各種定向持續(xù)攻擊中，特別是針對中國的攻擊中，盡管我們非常謹慎的把APT-TOCS稱為“準APT”攻擊，但需要注意的是，對于攻擊成本能力有限的國家和組織來說，這種模式可能是成本更低，但效果更可靠的選擇，但這就是其能力體現(xiàn)。同時商用木馬、開源木馬和攻擊平臺的引入，將導致依托大數(shù)據(jù)分析來辯識線索鏈的過程中產(chǎn)生更多干擾項，包括使我們之前使用過的“編碼心理學”等方法失去效果。
最后想說明的是，盡管在反APT產(chǎn)品上可能與360存在一定競爭關系，但雙方對APT的理解目前看是一致的，在這個問題上我認為需要共同維護正確的安全理念。