如今高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）已成為人盡皆知的“時(shí)髦術(shù)語(yǔ)”。越來(lái)越多的企業(yè)開始對(duì)其高度關(guān)注，政府部門也面臨著遭受APT攻擊的危險(xiǎn)，在安全顧問(wèn)的每一篇分析報(bào)告中都會(huì)提及它的“大名”。

眾多企業(yè)機(jī)構(gòu)慘遭“不測(cè)”的一個(gè)主要原因在于它們沒(méi)有發(fā)現(xiàn)真正的漏洞所在并加以修復(fù)。如果用戶還在疲于應(yīng)對(duì)三年前的威脅，毫無(wú)疑問(wèn)，這將于事無(wú)補(bǔ)。APT促使企業(yè)和機(jī)構(gòu)必須將重點(diǎn)放到今天存在的真正威脅上。

APT不容忽視，我們需要撥開圍繞它的層層“迷霧”和不實(shí)之辭，真正關(guān)注它為什么對(duì)于用戶而言是一個(gè)重要問(wèn)題。不要只把它當(dāng)作掛在嘴邊的時(shí)髦語(yǔ)，如果我們能夠深入了解APT的核心要素，就可以利用它來(lái)完善我們的安全舉措。毫無(wú)疑問(wèn)，威脅是風(fēng)險(xiǎn)防范的推動(dòng)因素之一。只有充分了解攻擊性威脅，企業(yè)和機(jī)構(gòu)才能做到對(duì)癥下藥的修復(fù)漏洞。

什么是APT？

APT 是黑客入侵系統(tǒng)的一種新方法。它是一種高級(jí)的、狡猾的伎倆，高級(jí)黑客可以利用 APT入侵網(wǎng)絡(luò)、逃避“追捕”、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪問(wèn)。以下是關(guān)于APT的一些要點(diǎn)：

1）任何組織（無(wú)論是政府機(jī)構(gòu)還是非政府機(jī)構(gòu)）都會(huì)成為APT的攻擊目標(biāo)。有些人錯(cuò)誤地認(rèn)為 APT 只是盯著美國(guó)國(guó)防部（Department of Defense）。對(duì)于網(wǎng)絡(luò)攻擊而言，政府機(jī)構(gòu)和商業(yè)組織之間并沒(méi)有明顯區(qū)別，任何可能危害國(guó)家的事情都是攻擊者垂涎的目標(biāo)。

2）一旦進(jìn)入網(wǎng)絡(luò)，威脅便大有用武之地，許多攻擊的切入點(diǎn)都是誘使用戶點(diǎn)擊鏈接。不過(guò)，一旦APT打入系統(tǒng)內(nèi)部，它便可以大發(fā)其威，因?yàn)樵诠舴绞椒矫嫠欠浅８呒?jí)而狡猾的。簽名分析對(duì)于防范APT毫無(wú)作用。高級(jí)攻擊總是百變其身，不斷重新編譯和利用加密來(lái)逃避檢測(cè)。

3）許多人誤以為攻擊類似天氣變化，來(lái)也匆匆，去也匆匆，暴風(fēng)雨的日子會(huì)過(guò)去，陽(yáng)光燦爛的晴朗天會(huì)來(lái)臨。然而，如今的互聯(lián)網(wǎng)始終是陰云密布的。以往，攻擊者只是定期騷擾某個(gè)機(jī)構(gòu)，而如今則是持續(xù)不斷的入侵。攻擊沒(méi)有停歇的時(shí)刻，攻擊者更加“持之以恒”。如果某個(gè)組織一段時(shí)間內(nèi)疏于防范，便給攻擊者施威留下了可乘之機(jī)。

4）攻擊者深知規(guī)模經(jīng)濟(jì)的功效，因此會(huì)盡可能快的進(jìn)行多點(diǎn)入侵。攻擊者選擇的“利器”是自動(dòng)化。自動(dòng)化不僅確保了威脅的持續(xù)性，而且支持攻擊者能夠非?？斓膶?shí)施攻擊。

5）老式攻擊還會(huì)給受害者留下一些可見(jiàn)的破壞“線索”。而如今，攻擊則是不留任何痕跡的逃避“追捕”。偷偷摸摸和加以偽裝是目前攻擊的主要伎倆。APT 的目標(biāo)是要做到盡可能亂真 — 即使不完全相同 — 也要與合法流量盡可能接近。差別非常細(xì)微，以至于許多安全設(shè)備根本無(wú)法分辨出來(lái)。

6）APT的目的是幫助攻擊者牟取經(jīng)濟(jì)或財(cái)務(wù)利益。因此，其核心目標(biāo)是數(shù)據(jù)。任何對(duì)機(jī)構(gòu)有價(jià)值的東西對(duì)攻擊者而言同樣有利可圖。隨著云計(jì)算技術(shù)的日益普及，通過(guò)互聯(lián)網(wǎng)，數(shù)據(jù)已變得越來(lái)越“唾手可得”。

7）攻擊者不僅需要做到對(duì)目標(biāo)機(jī)構(gòu)的系統(tǒng)進(jìn)出自如，而且要能夠長(zhǎng)期訪問(wèn)到有價(jià)值的數(shù)據(jù)。如果攻擊者下大力氣侵入了一個(gè)機(jī)構(gòu)的系統(tǒng)，他一定想做到長(zhǎng)期“霸占”數(shù)據(jù)。偷一次數(shù)據(jù)會(huì)獲得小利，而九個(gè)月內(nèi)持續(xù)竊取數(shù)據(jù)則會(huì)使攻擊者大發(fā)橫財(cái)。

所有這些意味著用戶所面臨的攻擊和威脅將是長(zhǎng)期的、持續(xù)的，因此對(duì)于機(jī)構(gòu)而言必須時(shí)刻保持“戰(zhàn)備”狀態(tài)，這是十分必要的。這是一場(chǎng)不會(huì)結(jié)束的戰(zhàn)爭(zhēng)。APT極其狡猾、隱匿，這預(yù)示著機(jī)構(gòu)很可能在幾個(gè)月內(nèi)持續(xù)遭受入侵，卻渾然不知。如果出現(xiàn)這種受到攻擊者數(shù)月隱匿攻擊，自己卻蒙在鼓里的情況，該如何應(yīng)對(duì)呢？

如何防范APT？

防范是理想舉措，而檢測(cè)則是必要的。多數(shù)機(jī)構(gòu)僅僅重視防范措施，對(duì)于 APT 而言，它是偽裝成合法流量侵入網(wǎng)絡(luò)的，很難加以分辨，因此防范效果甚微。只有攻擊數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)內(nèi)部，破壞和攻擊才開始實(shí)施。

針對(duì)APT這種新的攻擊媒介，以下是防范此類威脅的必要措施：

1）控制用戶并增強(qiáng)安全意識(shí)——一條通用法則是：你不能阻止愚蠢行為發(fā)生，但你可以對(duì)其加以控制。許多威脅通過(guò)引誘用戶點(diǎn)擊他們不應(yīng)理會(huì)的鏈接侵入網(wǎng)絡(luò)。限制沒(méi)有經(jīng)過(guò)適當(dāng)培訓(xùn)的用戶使用相關(guān)功能能夠降低整體安全風(fēng)險(xiǎn)，這是一項(xiàng)需要長(zhǎng)期堅(jiān)持的措施。

2）對(duì)行為進(jìn)行信譽(yù)評(píng)級(jí)——傳統(tǒng)安全解決方案采用的是判斷行為“好”或“壞”、進(jìn)而“允許”或“攔截”之類的策略。不過(guò)，隨著高級(jí)攻擊日益增多，這種分類方法已不足以應(yīng)對(duì)威脅。許多攻擊在開始時(shí)偽裝成合法流量進(jìn)入網(wǎng)絡(luò)，得逞后再實(shí)施破壞。由于攻擊者的目標(biāo)是先混入系統(tǒng)，因此，需要對(duì)行為進(jìn)行跟蹤，并對(duì)行為進(jìn)行信譽(yù)評(píng)級(jí)，以確定其是否合法。

3）重視傳出流量——傳入流量通常被用于防止和攔截攻擊者進(jìn)入網(wǎng)絡(luò)。毋庸置疑，這對(duì)于截獲某些攻擊還是有效的，而對(duì)于 APT，傳出流量則更具危險(xiǎn)性。如果意在攔截?cái)?shù)據(jù)和信息的外泄，監(jiān)控傳出流量是檢測(cè)異常行為的有效途徑。

4）了解不斷變化的威脅——對(duì)于您不了解的東西很難做到真正有效的防范。因此，有效防范的唯一途徑是對(duì)攻擊威脅有深入了解，做到知己知彼。如果組織不能持續(xù)了解攻擊者采用的新技術(shù)和新伎倆，將不能做到根據(jù)威脅狀況有效調(diào)整防范措施。

5）管理終端——攻擊者可能只是將侵入網(wǎng)絡(luò)作為一個(gè)切入點(diǎn)，他們的最終目的是要竊取終端中保存的信息和數(shù)據(jù)。要有效控制風(fēng)險(xiǎn)，控制和鎖定終端將是一項(xiàng)長(zhǎng)期有效的機(jī)構(gòu)安全保護(hù)措施。

如今的威脅更加高級(jí)、更具持續(xù)性、更加隱匿，同時(shí)主要以數(shù)據(jù)為目標(biāo)，因此，機(jī)構(gòu)必須部署有效的防護(hù)措施加以應(yīng)對(duì)。

總結(jié)

今后一段時(shí)期，APT將會(huì)越來(lái)越頻繁的出現(xiàn)。忽視這一問(wèn)題意味著您的機(jī)構(gòu)將面臨著威脅破壞的風(fēng)險(xiǎn)。應(yīng)對(duì)APT的核心要?jiǎng)?wù)是要“了解系統(tǒng)/網(wǎng)絡(luò)”。越了解網(wǎng)絡(luò)流量和服務(wù)，越能更好的確定/識(shí)別異常行為，進(jìn)而能更好的防范APT。

確保機(jī)構(gòu)得到適當(dāng)保護(hù)的有效方法是運(yùn)行模擬攻擊（例如，入侵測(cè)試、紅隊(duì)和倫理黑客攻擊），以了解組織的漏洞狀況。最為重要的是，如何快速檢測(cè)漏洞。確保成功的關(guān)鍵要素是：

1）切記一定獲得明確批準(zhǔn)

2）運(yùn)行良性攻擊

3） 確保執(zhí)行測(cè)試的人員具備等同于真正黑客的專業(yè)技術(shù)水平

4）及時(shí)修復(fù)漏洞

好消息是通過(guò)了解威脅和機(jī)構(gòu)的漏洞情況，用戶將能夠有效抵御APT。