APT（AdvancedPersistentThreat），高級(jí)持續(xù)威脅，它是組織(特別是政府)或者小團(tuán)體利用先進(jìn)的計(jì)算機(jī)網(wǎng)絡(luò)攻擊手段對(duì)特定高價(jià)值數(shù)據(jù)目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)侵害的攻擊形式。APT攻擊的原理相對(duì)于其他常見(jiàn)的網(wǎng)絡(luò)攻擊形式更為高級(jí)和先進(jìn)，其高級(jí)性主要體現(xiàn)在APT在發(fā)動(dòng)攻擊之前，需要對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的情報(bào)收集，在收集過(guò)程中，攻擊者會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，在這些漏洞的基礎(chǔ)上形成攻擊者所需的C&C網(wǎng)絡(luò)，此種行為沒(méi)有采取任何可能觸發(fā)警報(bào)或者引起懷疑的行動(dòng)，因此更接近于融入被攻擊者的系統(tǒng)或程序。有人甚至認(rèn)為；APT攻擊是各種社會(huì)工程學(xué)攻擊與各類0day利用的綜合體。下圖說(shuō)明了一次常見(jiàn)的APT攻擊的過(guò)程：

防范APT攻擊難在哪兒

APT攻擊的操縱者經(jīng)常會(huì)針對(duì)性的進(jìn)行為期幾個(gè)月甚至更長(zhǎng)時(shí)間的潛心準(zhǔn)備，熟悉用戶網(wǎng)絡(luò)壞境，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全隱患，定位關(guān)鍵信息的存儲(chǔ)位置與通信方式。當(dāng)一切的準(zhǔn)備就緒，攻擊者所鎖定的重要信息便會(huì)從這條秘密通道悄無(wú)聲息的轉(zhuǎn)移。

最新一次的APT攻擊效果技術(shù)試驗(yàn)中，一組研究人員收集并分析了82種新電腦病毒，并在40種殺毒軟件產(chǎn)品中進(jìn)行了測(cè)試。盡管這些產(chǎn)品多數(shù)都來(lái)自業(yè)內(nèi)知名廠商，但這些傳統(tǒng)模式的殺毒引擎，對(duì)于收集到的82種電腦病毒初始探測(cè)率卻不足5%，問(wèn)題的產(chǎn)生源于兩方面：一方面是以代碼特征為基礎(chǔ)的，傳統(tǒng)惡意軟件探測(cè)方式已經(jīng)無(wú)法順應(yīng)時(shí)代的發(fā)展，而另一方面則是以蠕蟲(chóng)、木馬、0Day漏洞為手段的攻擊形式正在向復(fù)雜性更高的APT形式過(guò)渡。

而另?yè)?jù)某網(wǎng)絡(luò)安全技術(shù)廠商的“最新網(wǎng)絡(luò)攻擊現(xiàn)狀”報(bào)告顯示，在發(fā)生APT攻擊活動(dòng)的亞洲和東歐，有184個(gè)國(guó)家都擁有內(nèi)部通信樞紐或數(shù)控服務(wù)器。攻擊期間，數(shù)控服務(wù)器以回調(diào)的方式與被感染的服務(wù)器保持聯(lián)通并被大量運(yùn)行，使得攻擊者的惡意軟件下載和修改能夠躲過(guò)安全監(jiān)測(cè)，從而竊取更多的數(shù)據(jù)，擴(kuò)大目標(biāo)組織攻擊面。

APT攻擊防范四大策略

在2013年的全球RSA大會(huì)上，APT防范再次成為熱點(diǎn)議題。在APT防范領(lǐng)域，國(guó)內(nèi)外廠商也展出了最優(yōu)秀的APT解決方案，他們的防范策略和解決方案可以概括為四類：

1、主機(jī)文件保護(hù)類：不管攻擊者通過(guò)何種渠道執(zhí)行攻擊文件，必須在員工的個(gè)人電腦上執(zhí)行。因此，能夠確保終端電腦的安全則可以有效防止APT攻擊。主要思路是采用白名單方法來(lái)控制個(gè)人主機(jī)上應(yīng)用程序的加載和執(zhí)行情況，從而防止惡意代碼在員工電腦上執(zhí)行。很多做終端安全的廠商就是從這個(gè)角度入手來(lái)制定APT攻擊防御方案，典型代表廠商包括國(guó)內(nèi)的金山網(wǎng)絡(luò)和國(guó)外的Bit9。

2、大數(shù)據(jù)分析檢測(cè)APT類：該類APT攻擊檢測(cè)方案并不重點(diǎn)檢測(cè)APT攻擊中的某個(gè)步驟，而是通過(guò)搭建企業(yè)內(nèi)部的可信文件知識(shí)庫(kù)，全面收集重要終端和服務(wù)器上的文件信息，在發(fā)現(xiàn)APT攻擊的蛛絲馬跡后，通過(guò)全面分析海量數(shù)據(jù)，杜絕APT攻擊的發(fā)生，采用這類技術(shù)的典型廠商是RSA。

3、惡意代碼檢測(cè)類：該類APT解決方案其實(shí)就是檢測(cè)APT攻擊過(guò)程中的惡意代碼傳播步驟，因?yàn)榇蠖鄶?shù)APT攻擊都是采用惡意代碼來(lái)攻擊員工個(gè)人電腦以進(jìn)入目標(biāo)網(wǎng)絡(luò)，因此，惡意代碼的檢測(cè)至關(guān)重要。很多做惡意代碼檢測(cè)的安全廠商就是從惡意代碼檢測(cè)入手來(lái)制定APT攻擊檢測(cè)和防御方案的，典型代表廠商包括FireEye。

4、網(wǎng)絡(luò)入侵檢測(cè)類：就是通過(guò)網(wǎng)絡(luò)邊界處的入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)APT攻擊的命令和控制通道。雖然APT攻擊中的惡意代碼變種很多，但是，惡意代碼網(wǎng)絡(luò)通信的命令和控制通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測(cè)方法來(lái)檢測(cè)APT通信通道。典型代表廠商有飛塔。