高持續(xù)性威脅（APT）是以商業(yè)和政治為目的的一個(gè)網(wǎng)絡(luò)犯罪類別。APT需要長(zhǎng)期經(jīng)營(yíng)與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會(huì)追求短期的經(jīng)濟(jì)收益和單純的系統(tǒng)破壞，而是專注于步步為營(yíng)的系統(tǒng)入侵，每一步都要達(dá)到一個(gè)目標(biāo)，而不會(huì)做其他多余的事來打草驚蛇。

想要給APT（Advanced Persistent Threat）做一個(gè)定義是非常困難的事情，但是我們能從字面上來簡(jiǎn)單理解一下高持續(xù)性威脅（Advanced Persistent Threat）的涵義：

A-Advanced：入侵團(tuán)隊(duì)會(huì)在背地里動(dòng)手動(dòng)腳，采用全方位的計(jì)算機(jī)入侵技術(shù)。有時(shí)候個(gè)別部分的攻擊技術(shù)可能無法去把它歸類，這一點(diǎn)特別體現(xiàn)在"高級(jí)（Advanced）"上，（例如惡意軟件組件常會(huì)用到的DIY工具箱，或者是使用容易產(chǎn)生此類漏洞的工具），入侵團(tuán)隊(duì)通常需要自己開發(fā)那些更先進(jìn)的工具，他們結(jié)合了多種攻擊方法和工具，以便達(dá)到預(yù)先設(shè)定好的目標(biāo)。

P-Persistent：他們通常會(huì)優(yōu)先考慮制定的任務(wù)，而不是機(jī)會(huì)主義者追求的即時(shí)經(jīng)濟(jì)效益。這種區(qū)別意味著，所發(fā)動(dòng)的攻擊是由外部實(shí)體人員監(jiān)控指導(dǎo)的。通過連續(xù)不斷的檢測(cè)和偵查，實(shí)現(xiàn)目標(biāo)的確定與攻擊。而不是用持續(xù)不斷的攻擊或者是不斷更新惡意軟件來發(fā)動(dòng)攻勢(shì)，事實(shí)上，這種"低慢"的攻擊方式，是比較成功的。

T-Threat：這是一個(gè)由組織者進(jìn)行協(xié)調(diào)和指揮的人為攻擊，而不是用無意識(shí)的自動(dòng)代碼發(fā)起的攻擊。入侵團(tuán)隊(duì)會(huì)有一個(gè)具體的目標(biāo)，這個(gè)團(tuán)隊(duì)也會(huì)非常的有上進(jìn)心，有組織性，并且有充足的資金。

APT入侵企業(yè)的途徑

即便有一個(gè)很好的安全策略與防護(hù)體系的存在，通過各種各樣的載體，APT也可以入侵到企業(yè)內(nèi)部。

◆基于互聯(lián)網(wǎng)惡意軟件的感染

◆物理惡意軟件的感染

◆外部入侵

有很好資金支持的APT對(duì)手不一定要從邊界網(wǎng)絡(luò)進(jìn)行入侵，他們經(jīng)常會(huì)充分利用具有"內(nèi)部威脅"和"受信鏈接"的定向訪問和目標(biāo)系統(tǒng)的漏洞。

濫用和泄露"受信鏈接"是許多APT攻擊成功的關(guān)鍵因素。雖然被攻擊的企業(yè)可以采用非常高端的技術(shù)來防止信息泄露，但犯罪團(tuán)伙往往會(huì)通過企業(yè)的某個(gè)雇員或者是商業(yè)伙伴的遠(yuǎn)程辦公來劫持敏感的數(shù)據(jù)（例如合法的身份憑證等）。所以，幾乎每個(gè)企業(yè)的遠(yuǎn)程站點(diǎn)都有可能成為數(shù)據(jù)泄漏的犧牲品。

APT成功的另一個(gè)關(guān)鍵因素就是它夠隱蔽，盡可能地不被任何人發(fā)現(xiàn)。為此，APT犯罪團(tuán)伙往往把攻擊的重點(diǎn)放在"低慢"上面--慢慢地，悄悄地從一個(gè)被入侵的主機(jī)移動(dòng)到下一個(gè)主機(jī)上面，其中也不會(huì)產(chǎn)生可被監(jiān)測(cè)的網(wǎng)絡(luò)流量，從而尋找自己需要的數(shù)據(jù)和目標(biāo)系統(tǒng)。

惡意軟件也是APT攻擊成功與否的核心要素。這些惡意軟件包括一些必須特性和功能，它們能夠感染系統(tǒng)，并且隱藏在具有檢測(cè)系統(tǒng)的主機(jī)上面，從而掃描網(wǎng)絡(luò)和捕獲關(guān)鍵數(shù)據(jù)，提供視頻監(jiān)控，通過遠(yuǎn)程控制通道隱蔽地發(fā)送出信息。如果有必要，APT入侵者會(huì)自己開發(fā)具有特定功能的惡意軟件來達(dá)到目標(biāo)，從而非法獲取系統(tǒng)數(shù)據(jù)，這也是每個(gè)APT攻擊的核心控制功能。通過惡意軟件的部署，攻擊者可以操縱本地系統(tǒng)，并獲得持續(xù)訪問的權(quán)限。

如果APT的惡意軟件不能和其攻擊者保持連接的話，它就不能發(fā)送任何已獲取的情報(bào)。實(shí)際上，這就像是它被做了絕育手術(shù)一樣。也有人說，這一點(diǎn)使得APT被當(dāng)做了僵尸網(wǎng)絡(luò)的子類，雖然APT的惡意軟件可以一直潛伏在主機(jī)里面，然而其遠(yuǎn)程控制等相關(guān)網(wǎng)絡(luò)活動(dòng)則相對(duì)容易被發(fā)現(xiàn)。所以，APT攻擊的有效防范就是在網(wǎng)絡(luò)層進(jìn)行控制和中斷。也有不少人認(rèn)為，數(shù)據(jù)盜竊者絕不可能完全不被看到。在輸出數(shù)據(jù)中查找異?，F(xiàn)象可能是管理員發(fā)現(xiàn)網(wǎng)絡(luò)成為APT目標(biāo)的最好方式。