題記：高持續(xù)性威脅（APT）是以商業(yè)和政治為目的的一個網(wǎng)絡(luò)犯罪類別。APT需要長期經(jīng)營與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會 追求短期的經(jīng)濟收益和單純的系統(tǒng)破壞，而是專注于步步為營的系統(tǒng)入侵，每一步都要達到一個目標(biāo)，而不會做其他多余的事來打草驚蛇。

2010年，Google對大眾承認(rèn)，公司服務(wù)器遭到嚴(yán)重攻擊。經(jīng)過調(diào)查發(fā)現(xiàn)，駭客在收集Google員工的個人信息之后，將精心構(gòu)筑的惡意代碼通過IE瀏覽器傳輸?shù)绞芎θ说碾娔X上執(zhí)行。沒有讓任何防毒軟件察覺。

在監(jiān)聽到Google雇員平時的服務(wù)器訪問密碼之后，登錄服務(wù)器，不斷獲得各種敏感信息。神不知，鬼不覺。

無獨有偶，緊接著在2011年，知名安全公司RSA的SecurID被駭客竊取，所用方式也如出一轍。

這兩個被踢爆的APT攻擊事件，真實的反映了APT高持續(xù)性威脅在業(yè)界暗流涌動的狀況。更多尚未暴露的APT攻擊，仍然在地下隱秘的活動著。而傳統(tǒng)的防毒軟件、IPS、防火墻，對這類危險的防御表現(xiàn)欠佳。

在最近網(wǎng)絡(luò)上流行的一篇文章——《中國黑客傳說：游走在黑暗中的精靈》中也反映了類似的情況，很多公司的內(nèi)網(wǎng)、很多大型數(shù)據(jù)中心、很多城市的水電煤等基礎(chǔ)設(shè)施……都可能被黑暗中的入侵者悄悄掌控著，他們將APT玩的爐火純青，享受著無與倫比的快感。

APT攻擊大多有著3個明顯特點。

1、  前期的目標(biāo)信息收集

2、  可繞過常規(guī)防護的EXP攻擊

3、  有意的避免大規(guī)模擴散，鎖定固定目標(biāo)。

不管是為了經(jīng)濟目的、政治目的，還是成就感，這些攻擊行為都是大型企業(yè)和機構(gòu)所不能容忍的。

目前常規(guī)的防御手段也比較典型。

1、  UTM統(tǒng)一威脅管理

2、  IPS /IDS入侵防護/檢測系統(tǒng)

3、  企業(yè)版反病毒毒軟件

4、  安全日志管理系統(tǒng)

5、  VPN/SSL/SSH加密通信

6、  漏洞掃描器

7、  流量清洗及過濾產(chǎn)品

以上安全產(chǎn)品各有優(yōu)勢，但彼此協(xié)作并不多，容易各自為戰(zhàn)，缺少智能的分析和判斷能力。于是，像McAfee、RSA之類的一些安全服務(wù)提供商開始在這些安全產(chǎn)品之上研究出“重型武器”——SIEM和SOC類安全信息管控產(chǎn)品。這類產(chǎn)品具有智能分析和判斷功能，可以有效增強客戶對APT攻擊的發(fā)現(xiàn)和鎖定能力。之所以將這類安全產(chǎn)品成為“重型武器”，是因為這類安全產(chǎn)品是相輔相成的立體式防御架構(gòu)，必須有很多安全工具與其配套，經(jīng)過細致的規(guī)劃和部署才能達到最佳效果。

目前在中國國內(nèi)，SIEM的普及率并不高，而對應(yīng)的知名品牌也比較少。據(jù)悉，國際安全公司McAfee將在2013年第二季度在華發(fā)布一款適用于中國客戶的SIEM安全信息管理系統(tǒng)，可以與 McAfee的ePO、DLP、IPS等產(chǎn)品聯(lián)動，以應(yīng)對日益猖獗的APT攻擊。在Gartner在2012年5月的報告中顯示，他們的SIEM在國際排名中位居三甲之列，美國國防部也是其客戶之一。