對企業(yè)的管理者和CSO們而言，高級可持續(xù)性威脅(APT)是他們的噩夢。對于APT攻擊，企業(yè)很難做到阻止，應(yīng)對這種攻擊通常需要明確的響應(yīng)和恢復(fù)計(jì)劃，這樣做的目的是減少損害和損失。因?yàn)橐坏┌l(fā)現(xiàn)APT活動(dòng)，這通常意味著已經(jīng)為時(shí)已晚。趨勢科技安全研究副總裁Rik Ferguson補(bǔ)充談到，當(dāng)有針對性的攻擊面對企業(yè)傳統(tǒng)安全架構(gòu)和管理模式時(shí)，事實(shí)確實(shí)是如此。

然而，安全專業(yè)人士知道當(dāng)應(yīng)對有針對性攻擊時(shí)，需要使用不同的技術(shù)和戰(zhàn)略，對于他們而言，這里還有戰(zhàn)斗的機(jī)會(huì)。

對于很多企業(yè)領(lǐng)導(dǎo)而言，APT側(cè)重于單個(gè)攻擊，使用高級攻擊方法，以獲取敏感信息或核心數(shù)據(jù)。攻擊者獲取信息后，就可以出售或使用這些信息來獲得某種類型的(經(jīng)濟(jì)、社會(huì)、軍事等方面)好處。在這種事件背后的參與者可能是進(jìn)行間諜活動(dòng)的國家，或者在重大產(chǎn)品發(fā)布會(huì)或并購之前想要占上風(fēng)的商業(yè)競爭對手。

需要注意的是，在這種情況下商業(yè)競爭對手或是國家并不會(huì)直接攻擊你，這些攻擊者會(huì)攻擊第三方，并利用他們來發(fā)起攻擊和管理攻擊活動(dòng)。這也是APT攻擊很難阻止的原因，企業(yè)可以抓到進(jìn)行直接攻擊的黑客并阻止他們，但找到攻擊根源完全是另一回事。

另外，一些普通的網(wǎng)絡(luò)罪犯也在使用這些用來發(fā)動(dòng)APT攻擊的方法，所以在大多數(shù)情況下，稱他們?yōu)楦呒壒舨⒉磺‘?dāng)。此外，經(jīng)常被人們用來描述APT攻擊的零日漏洞利用能力，也不應(yīng)該作為APT的明顯特征。各種網(wǎng)絡(luò)罪犯都在利用零日漏洞，因?yàn)檫@種工具能夠帶領(lǐng)他們實(shí)現(xiàn)更高程度的成功。

有針對性APT攻擊和普通網(wǎng)絡(luò)攻擊之間的區(qū)別在于目的或是整體目標(biāo)，而不是他們使用的工具、戰(zhàn)略或程序。安全供應(yīng)商可能不會(huì)茍同，但當(dāng)你看看那些APT攻擊和導(dǎo)致敏感記錄或企業(yè)機(jī)密丟失而沒有歸類為APT的事件，區(qū)別在哪里?

APT活動(dòng)背后的攻擊者并不會(huì)使用網(wǎng)絡(luò)巫術(shù)來實(shí)現(xiàn)他們的目標(biāo)。他們利用基本攻擊方法(例如社會(huì)工程、惡意軟件、軟件漏洞、web漏洞和公開課用的工具)來完成其攻擊。他們與一般攻擊者的區(qū)別是，他們有資金支持，并且有明確的任務(wù)目標(biāo)。他們會(huì)盡一切力量來實(shí)現(xiàn)其目標(biāo)，無論花多長時(shí)間。問題是，當(dāng)涉及到安全性和防御部署時(shí)，很多企業(yè)沒有太過重視，使他們輕松被命中。

APT相關(guān)的活動(dòng)并不是攻擊，它們是有針對性的持續(xù)活動(dòng)。這些活動(dòng)背后的操作者會(huì)花費(fèi)大量時(shí)間和經(jīng)歷并制定詳細(xì)計(jì)劃，讓他們不僅能夠訪問企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)，還能夠保持其訪問權(quán)限達(dá)數(shù)年之久。

在2009年，Lockheed Martin公司發(fā)布了一份關(guān)于APT防御的白皮書，其中介紹了這些高級攻擊活動(dòng)的特征，以及如何利用現(xiàn)有基礎(chǔ)設(shè)施來打擊這些活動(dòng)。這份白皮書中寫道：“由于傳統(tǒng)的基于漏洞的做法并不夠好，我們需要了解這種威脅本身、它的意圖、能力以及操作模式。”