APT追踪失灵？这家安全团队换了个思路

「如果对手把人员、工具、基础设施全换一遍，这还是同一个组织吗？」——这个问题正在让传统威胁归因方法失效。

DarkAtlas团队最近丢出一套新框架，不再死磕「谁是幕后黑手」，转而追踪「这波攻击和那波攻击有没有血缘关系」。思路一变，很多过去连不上的线索突然能串起来了。

一、老方法为什么越来越没用

安全行业追踪APT（高级持续性威胁）组织，过去几十年就靠一套打法：锁定战术、技术、程序（TTPs），只要行为模式对得上，就认为是同一拨人。

这套逻辑在对手「老实」的时候确实好使。但现在的APT组织早就不按套路出牌了——同一轮攻击周期内，换操作员、换工具、重建基础设施、调整目标，全是常规操作。

分析师手里的信号碎成渣，传统归因模型却还在问「这是不是X组织干的」。问题本身就有毛病：你面对的可能是个不断变形的对象，非要给个固定名字，当然越追越乱。

DarkAtlas把这叫「归因的忒修斯之船」困境。船上的木板一块块全换完，还是不是原来那艘船？传统模型在这个问题上直接卡死。

二、新框架的核心：放弃「组织身份」，拥抱「活动集群」

DarkAtlas的解法很直接——不追「谁干的」，改追「这波攻击干了什么」。

他们把离散、有时间边界的一连串活动定义为「活动集群」（campaign）。每个集群由三个要素锁定：目标是什么、基础设施长什么样、操作行为有什么特征。

关键洞察在这里：两个集群之间有没有连续性，不需要TTPs完全一致。只要多个独立证据层出现部分重叠，就能推断关联。

这相当于把归因从「身份证比对」改成「血缘鉴定」。不需要确认对方是谁，只需要确认这波攻击和那波攻击是不是「一家人」。

三、六层重叠模型：没有单一证据能定案

新框架的核心是「重叠模型」（Overlap Model），用六个分析维度交叉验证，取代单一指标归因。

任何单一痕迹——重用的IP、共享的工具、匹配的技术——都不足以定案。只有多个维度独立对齐时，归因可信度才会累积。

六个维度分别是：

战略层：攻击者的长期目标、地缘政治动机、目标行业选择。如果两波攻击都盯着同一国家的能源基础设施，战略层就对上了。

操作层：攻击链的编排逻辑、决策节奏、失误模式。比如都喜欢在周五下午发动钓鱼，或者都会在某个环节留下相似的清理痕迹。

技术层：具体使用的恶意软件家族、漏洞利用方式、加密通信协议。注意这里只看「用了什么」，不看「谁开发的」。

基础设施层：域名注册模式、托管服务商偏好、证书签发习惯。很多APT组织换IP比换衣服还勤，但注册域名的手法往往有惯性。

人力层：操作员的键盘习惯、代码注释语言、工作时间分布。这些生物特征最难伪装，也最难彻底改变。

时间层：活动的时间边界、休眠周期、与地缘政治事件的关联节奏。这能帮你判断两波攻击是同一拨人在轮班，还是完全不同的团队。

六个维度中，战略层和人力层通常最难获取，但一旦对齐，可信度最高。技术层和基础设施层数据最多，也最容易被对手故意污染。

四、三级置信度：承认不确定，反而更诚实

新框架不假装能给出确定答案。所有结论都标注置信度：高、中、低。

高置信度需要多个独立证据层出现强重叠。比如战略层目标一致、操作层节奏相似、人力层键盘指纹匹配，同时技术层和基础设施层也有部分对齐。

中置信度反映部分对齐。可能战略层和操作层对上了，但技术层换了一套全新工具，基础设施也迁移到了不同云服务商。

低置信度适用于单一维度相似，或数据有限的情况。这时候框架会明确告诉你「可能有关联，但别当真」。

这种分级的好处是诚实。传统模型经常把「看起来像」包装成「确认是」，新框架直接把不确定性摊在桌面上。

五、实战怎么用：从「命名敌人」到「追踪关系」

这套框架改变的不只是分析方法，还有整个安全运营的工作流。

传统模式下，分析师花大量时间争论「这波攻击该归到APT29还是APT28」。新框架下，争论变成「这波攻击和2023年Q2的某波攻击有没有战略层重叠」。

后者更容易验证，也更有行动价值。你不需要知道对手叫什么名字，只需要知道他们上次用了什么基础设施、下次可能盯什么目标。

具体操作上，DarkAtlas建议把历史活动按时间轴重排，标记每个集群的六维特征，然后画重叠矩阵。两个集群在多少个维度有交集，交集强度如何，一目了然。

这种方法对「借壳攻击」特别有效。有些APT组织会故意模仿其他组织的TTPs，但很难在六个维度上全部伪装。战略层的目标选择和人力层的操作习惯，尤其难造假。

六、局限在哪：数据饥渴和分析师负担

新框架不是没有代价。

六个维度全部覆盖，需要的数据量远超传统TTPs追踪。战略层需要地缘政治分析，人力层需要行为生物特征数据，很多安全团队根本没有这些能力。

分析师的工作量也会上升。过去比对几个IOC（失陷指标）就能出结论，现在要做六维交叉验证，还要评估每层的证据强度和独立性。

更麻烦的是「维度污染」问题。如果对手意识到你在用这套框架，可能会针对性伪造某些维度的特征。比如故意模仿目标组织的战略层选择，或者雇佣说同一种母语的操作员。

DarkAtlas自己也承认，这套框架更适合资源充足的大型安全团队。中小团队可能需要依赖共享情报平台，或者把六维模型裁剪到两三层。

七、行业影响：归因正在从「身份识别」转向「关系图谱」

这套框架的出现，标志着威胁情报行业的一次范式转移。

过去十年，MITRE ATT&CK框架把TTPs标准化，让行业有了共同语言。但ATT&CK解决的是「怎么打」，没解决「谁打的」。DarkAtlas的新框架补上了这一环——不是给答案，而是给一套更诚实的提问方式。

更深层的影响在安全产品设计上。传统SIEM和威胁情报平台以「组织名称」为索引，查询方式是「给我APT29的所有活动」。未来的产品可能需要支持「给我所有与2024年某活动集群有战略层重叠的攻击」。

这种查询方式更复杂，但也更贴近实战需求。防守方真正想知道的，从来不是对手叫什么名字，而是「这波攻击和我上次遇到的那波是不是同一伙人，他们接下来可能干什么」。

DarkAtlas的框架没有申请专利，方法论已经公开。接下来几个月，关键看有没有主流厂商愿意把六维模型做进产品，以及情报共享社区能不能建立跨组织的集群标注标准。

如果这两件事推进顺利，我们可能会看到威胁情报从「命名竞赛」转向「关系图谱」——不是给每个攻击贴名字标签，而是画出攻击之间的亲缘关系网。

这套框架最犀利的地方，是承认了一件行业长期不愿面对的事：APT组织不是固定实体，而是流动的、变形的、故意让你抓不住的。死磕「他们是谁」不如追问「这波和那波有什么关系」——后者至少能帮你预判下一步。

但这里有个问题：当防守方开始用六维模型追踪攻击者，攻击者会不会也学会在六个维度上同时造假？如果战略层、操作层、技术层、基础设施层、人力层、时间层全部可以伪造，归因还能相信什么？