根據(jù)NIST的定義，APT攻擊是指精通復(fù)雜技術(shù)的攻擊者利用多種攻擊向量，如網(wǎng)絡(luò)，物理和欺詐等，借助豐富資源創(chuàng)建機(jī)會(huì)實(shí)現(xiàn)自己目的。這些目的通常包括對(duì)目標(biāo)企業(yè)的信息技術(shù)架構(gòu)進(jìn)行篡改從而盜取數(shù)據(jù)(如將數(shù)據(jù)從內(nèi)網(wǎng)輸送到外網(wǎng))，執(zhí)行或阻止一項(xiàng)任務(wù)、程序;又或者是潛入對(duì)方架構(gòu)中伺機(jī)進(jìn)行偷取數(shù)據(jù)。

APT攻擊已給不少的大型公司或企業(yè)機(jī)構(gòu)造成了價(jià)值不菲的損失，作為一種高效、精確的網(wǎng)絡(luò)攻擊方式，迅速成為企業(yè)信息安全最大的威脅之一。2010年Google遭受了Aurora攻擊，網(wǎng)絡(luò)被入侵?jǐn)?shù)月，造成了各種系統(tǒng)數(shù)據(jù)的大量泄漏，RSA公司在遭受了APT攻擊后，SecureID令牌技術(shù)文件外泄，導(dǎo)致了全球上千萬的SecurID的使用者都感到極大的恐慌。

那么，APT攻擊是怎樣進(jìn)行的?

根據(jù)APT的行為特點(diǎn)，APT攻擊大體上可以劃分為如下幾個(gè)階段：

(1) 信息收集：攻擊者采用針對(duì)性APT攻擊，收集預(yù)定目標(biāo)IT架構(gòu)信息，包括企業(yè)的組織架構(gòu)、關(guān)鍵業(yè)務(wù)應(yīng)用、企業(yè)組織的角色和關(guān)系。然后采用社交工程的攻擊手法，包括構(gòu)造偽造身份的電子郵件等手段騙取用戶信任

(2) 獲取入口點(diǎn)。利用電子郵件、即時(shí)通信軟件、社交網(wǎng)絡(luò)、微博或者應(yīng)用程序漏洞找到進(jìn)入目標(biāo)網(wǎng)絡(luò)的大門。騙取用戶點(diǎn)擊郵件或微博中的網(wǎng)絡(luò)鏈接或下載惡意軟件,最終建立與目標(biāo)之間的連接。

(3) 命令與控制 (C&C 通信)：APT攻擊活動(dòng)首先在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī)。然后，APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來與C&C服務(wù)器通訊，C&C通?；烊牒戏髁炕蛘咄ㄟ^先攻陷一臺(tái)合法服務(wù)器作為C&C服務(wù)器的方式來逃避安全設(shè)備的檢查。

(4) 深入滲透：在獲得對(duì)目標(biāo)網(wǎng)絡(luò)的入口與控制點(diǎn)之后，攻擊者開始漫游用戶網(wǎng)絡(luò)以尋找存放敏感信息的計(jì)算機(jī),采用0Day工具、Pass the Hash以及暴力法等手段獲取管理員權(quán)限。

(5) 發(fā)掘資料：通過目錄瀏覽、控制郵件服務(wù)器閱讀關(guān)鍵郵件信息等手段來發(fā)掘用戶的關(guān)鍵資料。為了獲取最有價(jià)值的數(shù)據(jù)，APT會(huì)長(zhǎng)期低調(diào)地潛伏。

(6) 隱蔽地竊取資料：入侵者這時(shí)通過控制的客戶端，分布式地使用合法加密的數(shù)據(jù)通道、Tor 匿名網(wǎng)絡(luò)等管道悄無聲息地把偷竊到的數(shù)據(jù)上傳到控制服務(wù)器。完全繞開了企業(yè)的安全審計(jì)和異常檢測(cè)的保護(hù)。

通過以上的分析，我們可以知道，APT攻擊有著如下突出的特點(diǎn)：

(1) 在安全滲透的縱深上，APT攻擊涵蓋了從網(wǎng)關(guān)到網(wǎng)絡(luò)中服務(wù)器區(qū)、個(gè)人電腦等接入層的各個(gè)層次。

(2) BYOD成了APT攻擊的重要突破口，而絕大多數(shù)的安全產(chǎn)品缺乏對(duì)BYOD的有效管理與保護(hù)。

(3) APT攻擊是完全意義上的混合型攻擊：涵蓋了社會(huì)工程學(xué)、病毒、0Day漏洞、木馬、注入攻擊、加密等多種新型的攻擊手段，潛伏周期長(zhǎng)、隱蔽性極強(qiáng)。傳統(tǒng)的安全設(shè)備，單一功能的檢測(cè)手段無法防御APT。

Fortinet公司最新的發(fā)布的安全操作系統(tǒng)FortiOS 5.0中， 增加了用戶信譽(yù)評(píng)分系統(tǒng)、BOYD安全控制與基于設(shè)備的安全策略、雙引擎的病毒掃描、全天候的終端安全保護(hù)、強(qiáng)用戶身份認(rèn)證、僵尸網(wǎng)絡(luò)的高級(jí)防護(hù)等創(chuàng)新功能模塊;輔以全面的多功能安全引擎(包括訪問控制、病毒防御、入侵防御、內(nèi)容過濾、應(yīng)用控制等)，為APT的攻擊提供了從網(wǎng)絡(luò)接入層到網(wǎng)關(guān)、從物理層到應(yīng)用層的大縱深、全面有效的安全保護(hù)方案：