一般的信息安全解決方案可以對(duì)抗高級(jí)持續(xù)性攻擊(Advanced Persistent Threat，APT )嗎? APT是為了從組織內(nèi)部搜集特定檔案“特別”設(shè)計(jì)出來(lái)的嗎?資料外泄事件是APT造成的嗎?應(yīng)該說(shuō)APT攻擊是由“人”所發(fā)起的攻擊，因此他們是智慧的、積極的找尋并最終攻陷目標(biāo)，那么，今天IT團(tuán)隊(duì)以及他們的網(wǎng)絡(luò)所面臨的挑戰(zhàn)將會(huì)更加殘酷。

為了有效的幫助企業(yè)制訂對(duì)抗APT的安全策略，趨勢(shì)科技TrendLab經(jīng)過(guò)充分調(diào)查，采用直觀的數(shù)據(jù)圖表方式來(lái)說(shuō)明了APT在各個(gè)階段所表現(xiàn)的形態(tài)。根據(jù)APT攻擊行為的特點(diǎn)分析，趨勢(shì)科技的研究人員將APT攻擊分為如下幾個(gè)階段，它們是：情報(bào)收集、進(jìn)入點(diǎn)、命令和控制(C&C)通訊、橫向擴(kuò)展、資產(chǎn)/數(shù)據(jù)發(fā)掘和數(shù)據(jù)竊取。

通過(guò)對(duì)APT各階段攻擊的分析，IT團(tuán)隊(duì)可以了解到黑客對(duì)自己網(wǎng)絡(luò)發(fā)動(dòng)攻擊時(shí)用到的戰(zhàn)術(shù)和操作。這種分析有助于觀察黑客從特定網(wǎng)絡(luò)所發(fā)動(dòng)攻擊的行為，并結(jié)合內(nèi)部系統(tǒng)存在的安全隱患，建立本地威脅防御體系和動(dòng)態(tài)的安全策略，這是消除由同一伙黑客或是同一類(lèi)型APT攻擊的關(guān)鍵。

【APT攻擊流程圖】

在現(xiàn)實(shí)狀況下，要處理APT各階段的攻擊比一般的網(wǎng)絡(luò)攻擊要更加困難。比如說(shuō)：在資產(chǎn)/數(shù)據(jù)發(fā)掘階段，此時(shí)攻擊者已經(jīng)進(jìn)到網(wǎng)絡(luò)內(nèi)部，他們尋找并分析哪些數(shù)據(jù)具有價(jià)值，并加以 利用。根據(jù)一項(xiàng)調(diào)查顯示，雖然公司的機(jī)密信息占全部數(shù)據(jù)的三分之二，但是只有一半的企業(yè)會(huì)針對(duì)此種威脅安排信息安全建設(shè)預(yù)算，信息安全有時(shí)也會(huì)淪為了“討價(jià)還價(jià)”的范圍。

解密APT攻擊過(guò)程全貌

第1階段，情報(bào)收集：攻擊者會(huì)鎖定的公司和資源采用針對(duì)性APT攻擊，通常將目標(biāo)鎖定到企業(yè)員工的身上作為開(kāi)端，并通過(guò)社交工程攻擊開(kāi)啟一連串攻擊。而在調(diào)查數(shù)據(jù)中，只有31%的企業(yè)會(huì)懲處將公司機(jī)密資料貼到社區(qū)網(wǎng)站上的員工，這樣使得黑客非常容易的就能獲取到目標(biāo)企業(yè)的IT環(huán)境和組織架構(gòu)的重要信息。

第2階段，進(jìn)入點(diǎn)：利用電子郵件、即時(shí)通信軟件、社交網(wǎng)絡(luò)或是應(yīng)用程序漏洞找到進(jìn)入目標(biāo)網(wǎng)絡(luò)的大門(mén)。一項(xiàng)研究指出，在87%的組織中，會(huì)有網(wǎng)絡(luò)用戶點(diǎn)擊黑客安排的網(wǎng)絡(luò)鏈接,這些惡意鏈接都是精心設(shè)計(jì)的APT社交工程的誘餌。

第3階段，命令與控制 (C&C 通信)：APT攻擊活動(dòng)首先在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī)。然后，APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來(lái)與C&C服務(wù)器通訊，并確認(rèn)入侵成功的計(jì)算機(jī)和C&C服務(wù)器間保持通訊。

第4階段，橫向擴(kuò)展：在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具，將攻擊者權(quán)限提升到跟管理者一樣，讓他可以輕松的去訪問(wèn)和控制關(guān)鍵目標(biāo)(如：公司的郵件服務(wù)器)。

第5階段，資產(chǎn)/資料發(fā)掘：為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù)，APT會(huì)長(zhǎng)期低調(diào)的潛伏。這是APT長(zhǎng)期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)，來(lái)挖掘出最多的資料，而且在這個(gè)過(guò)程當(dāng)中，通常不會(huì)是重復(fù)自動(dòng)化的過(guò)程，而是會(huì)有人工的介入對(duì)數(shù)據(jù)做分析，以做最大化的利用。

第6階段，資料竊?。?/strong>APT是一種高級(jí)的、狡猾的伎倆，高級(jí)黑客可以利用APT入侵網(wǎng)絡(luò)、逃避“追捕”、悄無(wú)聲息不被發(fā)現(xiàn)、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪問(wèn)，最終挖掘到攻擊者想要的資料信息。數(shù)據(jù)泄露的代價(jià)對(duì)公司業(yè)務(wù)和資金的損失是極其慘重的，比如RSA就花了六千六百萬(wàn)美金來(lái)補(bǔ)救因內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)竊取事件所造成的傷害。