有些將APT定義為由民族或國(guó)家發(fā)起的攻擊，有些則將APT描述為竊取一般數(shù)據(jù)或者知識(shí)產(chǎn)權(quán)信息的威脅。而準(zhǔn)確地說(shuō)，高級(jí)持續(xù)性威脅(Advanced Persistent Threat)是指組織(特別是政府)或者小團(tuán)體使用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式。本文中，我們將看看APT(高級(jí)持續(xù)性威脅)是如何演變的以及你需要如何抵御這種類型的威脅。

哪些人受到威脅?

一些網(wǎng)絡(luò)管理員看完APT的定義后，得出的結(jié)論是他們的網(wǎng)絡(luò)并沒(méi)有受到威脅。中小型企業(yè)怎么可能成為大型網(wǎng)絡(luò)犯罪團(tuán)伙或國(guó)家的攻擊對(duì)象?實(shí)際上，APT剛開(kāi)始主要是政府機(jī)構(gòu)為國(guó)防需要采取的攻擊手段，后來(lái)APT攻擊者將他們的范圍擴(kuò)大到了攻擊公司，例如谷歌，但并不是只有大型高科技公司才會(huì)成為攻擊目標(biāo)。雖然對(duì)于APT攻擊者而言，政府機(jī)構(gòu)或者涉及國(guó)家安全或者國(guó)防承包項(xiàng)目的大型跨國(guó)企業(yè)更具吸引力，但企業(yè)規(guī)模并不是關(guān)鍵，因?yàn)榻鼇?lái)，很多小公司也開(kāi)始負(fù)責(zé)存儲(chǔ)情報(bào)片段數(shù)據(jù)來(lái)獲得政治或經(jīng)濟(jì)利益。還有那些處于一定職位，能夠訪問(wèn)情報(bào)信息的個(gè)人也可能成為攻擊目標(biāo)。

即使是在安全方面投入血本的大型企業(yè)仍然可能受到APT攻擊，通過(guò)各種不同的手段，例如有時(shí)候只需要簡(jiǎn)單地利用尚未修補(bǔ)的已知漏洞。在企業(yè)環(huán)境中，政策通常會(huì)規(guī)定新的補(bǔ)丁在部署到生產(chǎn)機(jī)器前必須進(jìn)行全面的測(cè)試，這樣做無(wú)疑可以避免不兼容的問(wèn)題，但這卻讓你的系統(tǒng)處于威脅之中。在其他情況下，無(wú)線安全漏洞、智能手機(jī)橋接，甚至云供應(yīng)商網(wǎng)絡(luò)滲透都可能為APT攻擊者敞開(kāi)大門。

任何規(guī)模的公司，只要員工可以訪問(wèn)網(wǎng)站、使用電子郵件(尤其是HTML郵件)、傳輸文件等，就有可能受到APT威脅，這些活動(dòng)可以被利用來(lái)傳輸APT組件，例如惡意軟件可以通過(guò)路過(guò)式下載、感染附件或文件進(jìn)行傳輸。即使是部署了強(qiáng)大的邊緣保護(hù)的企業(yè)仍然無(wú)法逃過(guò)APT攻擊，例如通過(guò)內(nèi)部接入被感染的可移動(dòng)驅(qū)動(dòng)器(U盤、閃存卡)、其他地方被感染的筆記本電腦等。

APT采取怎樣的形式?

高級(jí)持續(xù)性攻擊的“高級(jí)”是指，這種攻擊形式的攻擊者有一個(gè)基于特定戰(zhàn)略的縝密的計(jì)劃，即使他們使用的是相對(duì)簡(jiǎn)單的機(jī)制來(lái)實(shí)施。換句話說(shuō)，APT攻擊者不一定是嫻熟的黑客，他們可以利用互聯(lián)網(wǎng)上現(xiàn)成的腳本，和修改別人的惡意軟件，或者他們可以創(chuàng)建自定義惡意軟件來(lái)攻擊特定目標(biāo)。通常，他們使用許多不同攻擊類型來(lái)攻擊同一目標(biāo)，并且不斷來(lái)回攻擊，也就是所謂的“持續(xù)性”。并且，這種攻擊通常是以隱形且低調(diào)的方式進(jìn)行的，APT攻擊者都是隱形專家，他們采取措施來(lái)掩蓋他們的蹤跡，避免在日志中留下入侵的證據(jù)。

APT攻擊者也使用社會(huì)工程技術(shù)和/或招募內(nèi)部人員來(lái)獲取有效登錄憑證。分支機(jī)構(gòu)通常沒(méi)有總部那么嚴(yán)格的安全防范措施，因此有時(shí)會(huì)被利用來(lái)通過(guò)遠(yuǎn)程訪問(wèn)向目標(biāo)系統(tǒng)植入惡意軟件。一旦安裝了惡意軟件，攻擊者就能夠從任何地方訪問(wèn)和控制你的系統(tǒng)，或者采用自動(dòng)化程序，這樣惡意軟件就會(huì)將你的重要數(shù)據(jù)發(fā)送給攻擊者。

APT攻擊者選擇使用何種工具主要取決于他們的攻擊目標(biāo)是什么以及其網(wǎng)絡(luò)配置和安全狀況。這里有個(gè)簡(jiǎn)單的比喻：竊賊可能可以使用信用卡打開(kāi)簡(jiǎn)單鎖的房門，但是如果所有門都是呆鎖，他就要找不同的工具來(lái)進(jìn)去了。同樣的，APT攻擊者通常會(huì)盡可能使用最簡(jiǎn)單的工具來(lái)進(jìn)行攻擊。為什么要浪費(fèi)一個(gè)定制的先進(jìn)工具在不必要的工作上呢?而且這種工具只會(huì)給APT攻擊者留下馬腳。

APT攻擊者經(jīng)常利用僵尸網(wǎng)絡(luò)，僵尸網(wǎng)絡(luò)能夠給他們提供更多資源來(lái)發(fā)動(dòng)攻擊，并且很難追蹤到攻擊的源頭。雖然僵尸網(wǎng)絡(luò)經(jīng)常與垃圾郵件聯(lián)系在一起，但它們可以用于多種類型的攻擊。一個(gè)簡(jiǎn)單的命令和控制服務(wù)器就可以控制位于數(shù)百個(gè)不同公司的電腦，這些電腦上的惡意軟件可以不斷更新，一直“領(lǐng)先于”你的檢測(cè)工具。即使你的公司不是APT攻擊的目標(biāo)，你的網(wǎng)絡(luò)也可能在你不知情的情況下被用來(lái)作為犯罪工具：作為僵尸網(wǎng)絡(luò)的一部分，用來(lái)攻擊其他網(wǎng)絡(luò)。

檢測(cè)APT

必須明確的是，APT并不是一種特定攻擊方法，它描述了“誰(shuí)、什么和為什么”而沒(méi)有說(shuō)明“如何”。市面上并沒(méi)有商業(yè)解決方案可以真正檢測(cè)或者抵御APT，然而，APT卻淪為了眾多安全供應(yīng)商的營(yíng)銷短語(yǔ)和流行用語(yǔ)(雖然他們甚至不知道它的含義)。

針對(duì)已知攻擊的解決方案可能無(wú)法檢測(cè)先進(jìn)的APT攻擊，因?yàn)檫@種攻擊是以“隱形模式”進(jìn)行的。檢測(cè)APT需要一個(gè)良好的監(jiān)控解決方案，能夠識(shí)別和分析服務(wù)器和客戶端的微妙變化和異常。無(wú)論攻擊者的犯罪計(jì)劃多么縝密，他必然會(huì)留下點(diǎn)蹤跡，也就是刑事調(diào)查中的痕跡證據(jù)，這種證據(jù)并不明顯，甚至可能是肉眼看不見(jiàn)的。在數(shù)字世界中，APT攻擊者為了發(fā)動(dòng)攻擊(進(jìn)入網(wǎng)絡(luò)、植入惡意軟件、復(fù)制數(shù)據(jù))肯定會(huì)在系統(tǒng)的某處留下一些模糊的蹤跡。你的安全軟件必須能夠識(shí)別這些標(biāo)記，將其作為潛在惡意活動(dòng)的指示。與手動(dòng)檢查文件相比，軟件不僅更快而且更有效，因?yàn)锳PT攻擊者通常會(huì)使用這樣的詭計(jì)：惡意程序文件名與常見(jiàn)Windows文件類似。軟件可以識(shí)別文件名的細(xì)微區(qū)別(例如使用大寫I代替小寫L等)，而肉眼很難識(shí)別。

一旦發(fā)現(xiàn)了異常行為，就會(huì)引發(fā)對(duì)受感染機(jī)器進(jìn)行更進(jìn)一步的檢查。另一個(gè)關(guān)鍵要素是及時(shí)通知，這樣的話，就可以盡快對(duì)機(jī)器進(jìn)行全面檢查，而且應(yīng)該及時(shí)保存APT攻擊的證據(jù)，因?yàn)槁斆鞯腁PT攻擊者會(huì)嘗試刪除他們的蹤跡以避免被檢測(cè)到。

軟件是檢測(cè)網(wǎng)絡(luò)中異常的最好工具，而APT檢測(cè)的另一方面則需要人為因素，也就是指你可以收集關(guān)于網(wǎng)絡(luò)犯罪的最新情況。正如傳統(tǒng)恐怖分子通常會(huì)通過(guò) “聊天框”來(lái)發(fā)出信號(hào)，APT攻擊者可能會(huì)通過(guò)不同的通信渠道發(fā)出信號(hào)，說(shuō)明攻擊正在計(jì)劃中或者已經(jīng)取得進(jìn)展等。但你并不需要安排一個(gè)人來(lái)攔截和分析這些聊天信息，但是你需要清楚網(wǎng)絡(luò)犯罪世界發(fā)生了什么事情。

保護(hù)你的網(wǎng)絡(luò)

很多抵御APT攻擊的防御措施與你可能已經(jīng)部署的用來(lái)抵御一般惡意軟件和入侵威脅的措施相同。良好的防病毒和防惡意軟件是很重要的，但同樣重要的是，你要明白在APT攻擊中，滲透者的資源通常要比那些一般攻擊者要多得多。這意味著他們可以雇傭?qū)ｉT的程序員隨時(shí)來(lái)創(chuàng)建或者修改惡意軟件，根本沒(méi)有安全供應(yīng)商創(chuàng)建了定義，也就是零日威脅。

根據(jù)定義，APT是一種有針對(duì)性的攻擊，公司的公共事業(yè)和聲譽(yù)都可能導(dǎo)致公司成為APT攻擊目標(biāo)。因此聲譽(yù)/品牌監(jiān)控和管理可以是抵御這種攻擊的重要因素。“邪惡公司(Evil corporations)”和那些立場(chǎng)(政治立場(chǎng)、社會(huì)立場(chǎng)或其他)不受APT攻擊者歡迎的公司很可能成為攻擊目標(biāo)。而在某些情況下，處于某一行業(yè)(油公司、銀行等)就足以讓你成為攻擊對(duì)象。然而，你可以通過(guò)精心培養(yǎng)公司的公眾形象來(lái)減少風(fēng)險(xiǎn)。