如今高級持續(xù)性威脅（Advanced Persistent Threat，APT）已成為人盡皆知的“時(shí)髦術(shù)語”。越來越多的企業(yè)開始對其高度關(guān)注，政府部門也面臨著遭受APT攻擊的危險(xiǎn)，在安全顧問的每一篇分析報(bào)告中都會提及它的“大名”。
眾多企業(yè)機(jī)構(gòu)慘遭“不測”的一個(gè)主要原因在于它們沒有發(fā)現(xiàn)真正的漏洞所在并加以修復(fù)。如果用戶還在疲于應(yīng)對三年前的威脅，毫無疑問，這將于事無補(bǔ)。APT促使企業(yè)和機(jī)構(gòu)必須將重點(diǎn)放到今天存在的真正威脅上。
APT不容忽視，我們需要撥開圍繞它的層層“迷霧”和不實(shí)之辭，真正關(guān)注它為什么對于用戶而言是一個(gè)重要問題。不要只把它當(dāng)作掛在嘴邊的時(shí)髦語，如果我們能夠深入了解APT的核心要素，就可以利用它來完善我們的安全舉措。毫無疑問，威脅是風(fēng)險(xiǎn)防范的推動因素之一。只有充分了解攻擊性威脅，企業(yè)和機(jī)構(gòu)才能做到對癥下藥的修復(fù)漏洞。
什么是APT？
APT 是黑客入侵系統(tǒng)的一種新方法。它是一種高級的、狡猾的伎倆，高級黑客可以利用 APT入侵網(wǎng)絡(luò)、逃避“追捕”、隨心所欲對泄露數(shù)據(jù)進(jìn)行長期訪問。以下是關(guān)于APT的一些要點(diǎn)：
1）任何組織（無論是政府機(jī)構(gòu)還是非政府機(jī)構(gòu)）都會成為APT的攻擊目標(biāo)。有些人錯(cuò)誤地認(rèn)為 APT 只是盯著美國國防部（Department of Defense）。對于網(wǎng)絡(luò)攻擊而言，政府機(jī)構(gòu)和商業(yè)組織之間并沒有明顯區(qū)別，任何可能危害國家的事情都是攻擊者垂涎的目標(biāo)。
2）一旦進(jìn)入網(wǎng)絡(luò)，威脅便大有用武之地，許多攻擊的切入點(diǎn)都是誘使用戶點(diǎn)擊鏈接。不過，一旦APT打入系統(tǒng)內(nèi)部，它便可以大發(fā)其威，因?yàn)樵诠舴绞椒矫嫠欠浅８呒壎苹?。簽名分析對于防范APT毫無作用。高級攻擊總是百變其身，不斷重新編譯和利用加密來逃避檢測。
3）許多人誤以為攻擊類似天氣變化，來也匆匆，去也匆匆，暴風(fēng)雨的日子會過去，陽光燦爛的晴朗天會來臨。然而，如今的互聯(lián)網(wǎng)始終是陰云密布的。以往，攻擊者只是定期騷擾某個(gè)機(jī)構(gòu)，而如今則是持續(xù)不斷的入侵。攻擊沒有停歇的時(shí)刻，攻擊者更加“持之以恒”。如果某個(gè)組織一段時(shí)間內(nèi)疏于防范，便給攻擊者施威留下了可乘之機(jī)。
4）攻擊者深知規(guī)模經(jīng)濟(jì)的功效，因此會盡可能快的進(jìn)行多點(diǎn)入侵。攻擊者選擇的“利器”是自動化。自動化不僅確保了威脅的持續(xù)性，而且支持攻擊者能夠非?？斓膶?shí)施攻擊。
5）老式攻擊還會給受害者留下一些可見的破壞“線索”。而如今，攻擊則是不留任何痕跡的逃避“追捕”。偷偷摸摸和加以偽裝是目前攻擊的主要伎倆。APT 的目標(biāo)是要做到盡可能亂真 — 即使不完全相同 — 也要與合法流量盡可能接近。差別非常細(xì)微，以至于許多安全設(shè)備根本無法分辨出來。
6）APT的目的是幫助攻擊者牟取經(jīng)濟(jì)或財(cái)務(wù)利益。因此，其核心目標(biāo)是數(shù)據(jù)。任何對機(jī)構(gòu)有價(jià)值的東西對攻擊者而言同樣有利可圖。隨著云計(jì)算技術(shù)的日益普及，通過互聯(lián)網(wǎng)，數(shù)據(jù)已變得越來越“唾手可得”。
7）攻擊者不僅需要做到對目標(biāo)機(jī)構(gòu)的系統(tǒng)進(jìn)出自如，而且要能夠長期訪問到有價(jià)值的數(shù)據(jù)。如果攻擊者下大力氣侵入了一個(gè)機(jī)構(gòu)的系統(tǒng)，他一定想做到長期“霸占”數(shù)據(jù)。偷一次數(shù)據(jù)會獲得小利，而九個(gè)月內(nèi)持續(xù)竊取數(shù)據(jù)則會使攻擊者大發(fā)橫財(cái)。
所有這些意味著用戶所面臨的攻擊和威脅將是長期的、持續(xù)的，因此對于機(jī)構(gòu)而言必須時(shí)刻保持“戰(zhàn)備”狀態(tài)，這是十分必要的。這是一場不會結(jié)束的戰(zhàn)爭。APT極其狡猾、隱匿，這預(yù)示著機(jī)構(gòu)很可能在幾個(gè)月內(nèi)持續(xù)遭受入侵，卻渾然不知。如果出現(xiàn)這種受到攻擊者數(shù)月隱匿攻擊，自己卻蒙在鼓里的情況，該如何應(yīng)對呢？
如何防范APT？
防范是理想舉措，而檢測則是必要的。多數(shù)機(jī)構(gòu)僅僅重視防范措施，對于 APT 而言，它是偽裝成合法流量侵入網(wǎng)絡(luò)的，很難加以分辨，因此防范效果甚微。只有攻擊數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)內(nèi)部，破壞和攻擊才開始實(shí)施。
針對APT這種新的攻擊媒介，以下是防范此類威脅的必要措施：
1）控制用戶并增強(qiáng)安全意識——一條通用法則是：你不能阻止愚蠢行為發(fā)生，但你可以對其加以控制。許多威脅通過引誘用戶點(diǎn)擊他們不應(yīng)理會的鏈接侵入網(wǎng)絡(luò)。限制沒有經(jīng)過適當(dāng)培訓(xùn)的用戶使用相關(guān)功能能夠降低整體安全風(fēng)險(xiǎn)，這是一項(xiàng)需要長期堅(jiān)持的措施。
2）對行為進(jìn)行信譽(yù)評級——傳統(tǒng)安全解決方案采用的是判斷行為“好”或“壞”、進(jìn)而“允許”或“攔截”之類的策略。不過，隨著高級攻擊日益增多，這種分類方法已不足以應(yīng)對威脅。許多攻擊在開始時(shí)偽裝成合法流量進(jìn)入網(wǎng)絡(luò)，得逞后再實(shí)施破壞。由于攻擊者的目標(biāo)是先混入系統(tǒng)，因此，需要對行為進(jìn)行跟蹤，并對行為進(jìn)行信譽(yù)評級，以確定其是否合法。
3）重視傳出流量——傳入流量通常被用于防止和攔截攻擊者進(jìn)入網(wǎng)絡(luò)。毋庸置疑，這對于截獲某些攻擊還是有效的，而對于 APT，傳出流量則更具危險(xiǎn)性。如果意在攔截?cái)?shù)據(jù)和信息的外泄，監(jiān)控傳出流量是檢測異常行為的有效途徑。
4）了解不斷變化的威脅——對于您不了解的東西很難做到真正有效的防范。因此，有效防范的唯一途徑是對攻擊威脅有深入了解，做到知己知彼。如果組織不能持續(xù)了解攻擊者采用的新技術(shù)和新伎倆，將不能做到根據(jù)威脅狀況有效調(diào)整防范措施。
5）管理終端——攻擊者可能只是將侵入網(wǎng)絡(luò)作為一個(gè)切入點(diǎn)，他們的最終目的是要竊取終端中保存的信息和數(shù)據(jù)。要有效控制風(fēng)險(xiǎn)，控制和鎖定終端將是一項(xiàng)長期有效的機(jī)構(gòu)安全保護(hù)措施。
如今的威脅更加高級、更具持續(xù)性、更加隱匿，同時(shí)主要以數(shù)據(jù)為目標(biāo)，因此，機(jī)構(gòu)必須部署有效的防護(hù)措施加以應(yīng)對。
總結(jié)
今后一段時(shí)期，APT將會越來越頻繁的出現(xiàn)。忽視這一問題意味著您的機(jī)構(gòu)將面臨著威脅破壞的風(fēng)險(xiǎn)。應(yīng)對APT的核心要務(wù)是要“了解系統(tǒng)/網(wǎng)絡(luò)”。越了解網(wǎng)絡(luò)流量和服務(wù)，越能更好的確定/識別異常行為，進(jìn)而能更好的防范APT。
在防范APT攻擊上，國際和國內(nèi)廠家分別獨(dú)立探索出了相似的技術(shù)解決路徑，通過在內(nèi)網(wǎng)、私有云的服務(wù)器上安裝防護(hù)工具，為任何可疑操作設(shè)置幻影等手段，對各種APT攻擊進(jìn)行識別、跟蹤和誘捕，在實(shí)際環(huán)境中取得了不錯(cuò)的效果。欲了解產(chǎn)品詳情，可訪問：http://suotutu.cn/APT。