“只有兩種類(lèi)型的企業(yè)：那些知道他們已經(jīng)受到攻擊的，還有那些不知道自己被攻擊的。”——著名計(jì)算機(jī)安全專(zhuān)家D.Alperovitch

現(xiàn)今，APT類(lèi)攻擊最為難以防御，也不易被提前察覺(jué)。據(jù)統(tǒng)計(jì)，國(guó)際上明確未曾遭遇APT類(lèi)攻擊的企業(yè)僅為11%。《中國(guó)互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈調(diào)查報(bào)告》編撰者之一清華大學(xué)信息網(wǎng)絡(luò)工程研究中心博士、副研究員諸葛建偉表示，目前國(guó)內(nèi)地下黑色產(chǎn)業(yè)鏈里的刷庫(kù)就是一種APT類(lèi)的威脅，但在公開(kāi)的地下黑市里與APT相關(guān)的信息比較難以區(qū)分，APT類(lèi)攻擊都比較隱蔽，所以更傾向于隱秘的單線聯(lián)系，難于監(jiān)控。另外，現(xiàn)在許多經(jīng)受了安全產(chǎn)品“考驗(yàn)”的入侵技術(shù)，正在逐漸被應(yīng)用到APT類(lèi)攻擊里。

“低調(diào)”的APT攻擊

2012年最火的APT類(lèi)攻擊“火焰(Flame)” 利用了MD5的碰撞漏洞，偽造了合法的數(shù)字證書(shū)，冒充正規(guī)軟件實(shí)現(xiàn)了欺騙攻擊。據(jù)趨勢(shì)科技硬件產(chǎn)品經(jīng)理林義軒介紹，APT的攻擊途徑主要分為四種：

1、社交郵件、微博等;

2、針對(duì)系統(tǒng)漏洞的攻擊，比如防火墻漏洞、服務(wù)器漏洞等;

3、通過(guò)移動(dòng)設(shè)備進(jìn)行的間接攻擊;

4、另外則是通過(guò)相關(guān)人員的電腦進(jìn)行破壞。

現(xiàn)在社交郵件是最為常見(jiàn)的攻擊方式，利用系統(tǒng)漏洞比較難于實(shí)現(xiàn)。而Flame的攻擊技術(shù)含金量很高，相信其攻擊方法將很快被其他攻擊者模仿利用。Flame里面創(chuàng)新的攻擊途徑，讓攻擊者看到了更加豐富的攻擊方式，獲得更多的“啟發(fā)”。

APT類(lèi)攻擊具有“不讓你看到”的特點(diǎn)，它會(huì)千方百計(jì)躲避各類(lèi)安全監(jiān)測(cè)。APT主要發(fā)起低頻攻擊，十分“低調(diào)”：APT具有高隱蔽性，低能見(jiàn)度的特性。而且APT類(lèi)攻擊很聰明，只會(huì)去偷高附加值的數(shù)據(jù)。

由細(xì)微處發(fā)現(xiàn)APT破綻

現(xiàn)在還沒(méi)有針對(duì)APT的特效藥，不過(guò)攻擊者為了在受攻擊目標(biāo)內(nèi)部建立更多的立足點(diǎn)，會(huì)不停發(fā)送各類(lèi)社交工程郵件，不斷進(jìn)行欺騙攻擊，而這就為T(mén)DA提供了提前發(fā)現(xiàn)攻擊趨勢(shì)的用武之地。APT攻擊為了搜尋到具有價(jià)值的計(jì)算機(jī)，需要不停進(jìn)行跳板式攻擊，當(dāng)其通過(guò)交換機(jī)時(shí)就很容易被TDA所發(fā)現(xiàn)。TDA是一個(gè)網(wǎng)絡(luò)設(shè)備，所以可以對(duì)各類(lèi)網(wǎng)絡(luò)活動(dòng)進(jìn)行監(jiān)測(cè)，當(dāng)發(fā)現(xiàn)異常網(wǎng)絡(luò)行為——對(duì)外擴(kuò)散、回復(fù)通訊(肉雞上線)——時(shí)就可以及時(shí)發(fā)現(xiàn)。

TDA面對(duì)APT類(lèi)攻擊，通過(guò)沙盒模擬分析系統(tǒng)，來(lái)檢測(cè)是否存在惡意攻擊。對(duì)于加密包，TDA會(huì)先將加密包截留下來(lái)特別予以監(jiān)測(cè)，當(dāng)其發(fā)起攻擊時(shí)就能當(dāng)場(chǎng)捕獲。

APT攻擊的出現(xiàn)，需要面對(duì)大數(shù)據(jù)的安全分析問(wèn)題。大數(shù)據(jù)，簡(jiǎn)單來(lái)說(shuō)就是海量數(shù)據(jù)，而APT是低頻攻擊，所以要采用海底撈針的方式對(duì)大數(shù)據(jù)進(jìn)行分析。這需要通過(guò)交叉分析的方式進(jìn)行針對(duì)大數(shù)據(jù)的安全分析：通過(guò)對(duì)網(wǎng)絡(luò)日志、服務(wù)器日志等進(jìn)行關(guān)聯(lián)性分析，從中發(fā)現(xiàn)潛藏的APT攻擊。APT在進(jìn)行感染行為時(shí)，主要采用惡意代碼感染攻擊方式。