高持續(xù)性威脅（APT）是以商業(yè)和政治為目的的一個網(wǎng)絡(luò)犯罪類別。APT需要長期經(jīng)營與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會追求短期的經(jīng)濟收益和單純的系統(tǒng)破壞，而是專注于步步為營的系統(tǒng)入侵，每一步都要達到一個目標，而不會做其他多余的事來打草驚蛇。

想要給APT（Advanced Persistent Threat）做一個定義是非常困難的事情，但是我們能從字面上來簡單理解一下高持續(xù)性威脅（Advanced Persistent Threat）的涵義：

A-Advanced：入侵團隊會在背地里動手動腳，采用全方位的計算機入侵技術(shù)。有時候個別部分的攻擊技術(shù)可能無法去把它歸類，這一點特別體現(xiàn)在"高級（Advanced）"上，（例如惡意軟件組件常會用到的DIY工具箱，或者是使用容易產(chǎn)生此類漏洞的工具），入侵團隊通常需要自己開發(fā)那些更先進的工具，他們結(jié)合了多種攻擊方法和工具，以便達到預(yù)先設(shè)定好的目標。

P-Persistent：他們通常會優(yōu)先考慮制定的任務(wù)，而不是機會主義者追求的即時經(jīng)濟效益。這種區(qū)別意味著，所發(fā)動的攻擊是由外部實體人員監(jiān)控指導(dǎo)的。通過連續(xù)不斷的檢測和偵查，實現(xiàn)目標的確定與攻擊。而不是用持續(xù)不斷的攻擊或者是不斷更新惡意軟件來發(fā)動攻勢，事實上，這種"低慢"的攻擊方式，是比較成功的。

T-Threat：這是一個由組織者進行協(xié)調(diào)和指揮的人為攻擊，而不是用無意識的自動代碼發(fā)起的攻擊。入侵團隊會有一個具體的目標，這個團隊也會非常的有上進心，有組織性，并且有充足的資金。

APT入侵企業(yè)的途徑

即便有一個很好的安全策略與防護體系的存在，通過各種各樣的載體，APT也可以入侵到企業(yè)內(nèi)部。

◆基于互聯(lián)網(wǎng)惡意軟件的感染

◆物理惡意軟件的感染

◆外部入侵

有很好資金支持的APT對手不一定要從邊界網(wǎng)絡(luò)進行入侵，他們經(jīng)常會充分利用具有"內(nèi)部威脅"和"受信鏈接"的定向訪問和目標系統(tǒng)的漏洞。

濫用和泄露"受信鏈接"是許多APT攻擊成功的關(guān)鍵因素。雖然被攻擊的企業(yè)可以采用非常高端的技術(shù)來防止信息泄露，但犯罪團伙往往會通過企業(yè)的某個雇員或者是商業(yè)伙伴的遠程辦公來劫持敏感的數(shù)據(jù)（例如合法的身份憑證等）。所以，幾乎每個企業(yè)的遠程站點都有可能成為數(shù)據(jù)泄漏的犧牲品。

APT成功的另一個關(guān)鍵因素就是它夠隱蔽，盡可能地不被任何人發(fā)現(xiàn)。為此，APT犯罪團伙往往把攻擊的重點放在"低慢"上面--慢慢地，悄悄地從一個被入侵的主機移動到下一個主機上面，其中也不會產(chǎn)生可被監(jiān)測的網(wǎng)絡(luò)流量，從而尋找自己需要的數(shù)據(jù)和目標系統(tǒng)。

惡意軟件也是APT攻擊成功與否的核心要素。這些惡意軟件包括一些必須特性和功能，它們能夠感染系統(tǒng)，并且隱藏在具有檢測系統(tǒng)的主機上面，從而掃描網(wǎng)絡(luò)和捕獲關(guān)鍵數(shù)據(jù)，提供視頻監(jiān)控，通過遠程控制通道隱蔽地發(fā)送出信息。如果有必要，APT入侵者會自己開發(fā)具有特定功能的惡意軟件來達到目標，從而非法獲取系統(tǒng)數(shù)據(jù)，這也是每個APT攻擊的核心控制功能。通過惡意軟件的部署，攻擊者可以操縱本地系統(tǒng)，并獲得持續(xù)訪問的權(quán)限。

如果APT的惡意軟件不能和其攻擊者保持連接的話，它就不能發(fā)送任何已獲取的情報。實際上，這就像是它被做了絕育手術(shù)一樣。也有人說，這一點使得APT被當做了僵尸網(wǎng)絡(luò)的子類，雖然APT的惡意軟件可以一直潛伏在主機里面，然而其遠程控制等相關(guān)網(wǎng)絡(luò)活動則相對容易被發(fā)現(xiàn)。所以，APT攻擊的有效防范就是在網(wǎng)絡(luò)層進行控制和中斷。也有不少人認為，數(shù)據(jù)盜竊者絕不可能完全不被看到。在輸出數(shù)據(jù)中查找異常現(xiàn)象可能是管理員發(fā)現(xiàn)網(wǎng)絡(luò)成為APT目標的最好方式。