正所謂“知己知彼，百戰(zhàn)百勝”，在我們對(duì)APT攻擊有一定了解后，也要自省其身，了解企業(yè)的安全現(xiàn)狀，才能做好防御。

APT即“Adavanced Persistent Threat”，是指針對(duì)明確目標(biāo)的持續(xù)的、復(fù)雜的網(wǎng)絡(luò)攻擊。在2010年Google公司承認(rèn)遭受嚴(yán)重黑客攻擊后，APT攻擊成為信息安全行業(yè)熱議的話題之一。

APT攻擊的主要特點(diǎn)

APT就像網(wǎng)絡(luò)世界神秘莫測(cè)的刺客，以其自身的特點(diǎn)威懾著目標(biāo)系統(tǒng)的安全。

針對(duì)性：與傳統(tǒng)的網(wǎng)絡(luò)攻擊相比，APT攻擊針對(duì)性很強(qiáng)。傳統(tǒng)的網(wǎng)絡(luò)攻擊一般會(huì)選擇相對(duì)容易的攻擊目標(biāo)，而APT攻擊在選定攻擊目標(biāo)后，一般不會(huì)改變，整個(gè)攻擊過(guò)程都經(jīng)過(guò)攻擊者的精心策劃，攻擊一旦發(fā)起，攻擊者會(huì)針對(duì)目標(biāo)網(wǎng)絡(luò)嘗試不同的攻擊技術(shù)、攻擊手段，不達(dá)目的絕不罷休。

隱蔽性：APT攻擊具有極強(qiáng)的隱蔽性，攻擊者往往會(huì)利用豐富的經(jīng)驗(yàn)、先進(jìn)的技術(shù)、超凡的耐性來(lái)掩蓋自己的行蹤，躲避常規(guī)安全產(chǎn)品的檢測(cè)，并且整個(gè)攻擊過(guò)程時(shí)間跨度較大，給APT攻擊的防御帶來(lái)極大的挑戰(zhàn)。

復(fù)雜性：在APT攻擊過(guò)程中，攻擊者往往會(huì)利用多種攻擊技術(shù)、攻擊手段，不僅會(huì)利用已知安全漏洞、木馬后門，還可能會(huì)利用0DAY漏洞、特種木馬，通常會(huì)結(jié)合社會(huì)工程學(xué)的相關(guān)知識(shí)，并且攻擊路徑復(fù)雜，下圖為APT攻擊可能利用的攻擊手段。#p#

APT攻擊的一般過(guò)程

盡管每起APT攻擊事件都有不同的企圖、不同的攻擊目標(biāo)，但是準(zhǔn)備和實(shí)施APT攻擊有一個(gè)通用的過(guò)程，一般可以劃分為4個(gè)階段，即搜索階段、進(jìn)入階段、滲透階段、收獲階段。

搜索階段：APT攻擊與普通網(wǎng)絡(luò)攻擊相比，在信息搜索的深度和廣度上有明顯不同。APT攻擊的攻擊者會(huì)花費(fèi)大量的時(shí)間和精力用于搜索目標(biāo)系統(tǒng)的相關(guān)信息。他們會(huì)了解企業(yè)的背景、公司文化、人員組織，還會(huì)收集目標(biāo)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)系統(tǒng)、應(yīng)用程序版本等信息。隨后攻擊者會(huì)制定周密的計(jì)劃，識(shí)別有助于攻擊目標(biāo)達(dá)成的系統(tǒng)、人員信息，收集、開(kāi)發(fā)或購(gòu)買攻擊工具，APT攻擊可能會(huì)利用特種木馬、0DAY漏洞利用工具、口令猜測(cè)工具，以及其它滲透測(cè)試工具。

進(jìn)入階段：攻擊者會(huì)進(jìn)行間斷性的攻擊嘗試，直到找到突破口，控制企業(yè)內(nèi)網(wǎng)的第一臺(tái)計(jì)算機(jī)。常見(jiàn)的方法如下：

惡意文件：精心構(gòu)造，并以郵件、IM軟件等形式向內(nèi)部員工發(fā)送攜帶惡意代碼的PDF、Word文檔；

惡意鏈接：以郵件、IM軟件等形式向內(nèi)部員工發(fā)送攜帶惡意代碼的URL鏈接，誘使員工點(diǎn)擊；

網(wǎng)站漏洞：利用網(wǎng)站系統(tǒng)的漏洞，例如SQL注入、文件上傳、遠(yuǎn)程溢出等等，控制網(wǎng)站服務(wù)器作為跳板，對(duì)企業(yè)內(nèi)部進(jìn)行滲透、攻擊；

購(gòu)買“肉雞”：這是一種最便捷的攻擊方式，即從地下黑市直接購(gòu)買企業(yè)內(nèi)部已經(jīng)被其它黑客攻陷的計(jì)算機(jī)。

滲透階段：攻擊者利用已經(jīng)控制的計(jì)算機(jī)作為跳板，通過(guò)遠(yuǎn)程控制，對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行滲透，尋找有價(jià)值的數(shù)據(jù)，與進(jìn)入階段類似，本階段一樣會(huì)考驗(yàn)攻擊者的耐心、技術(shù)、手段。

收獲階段：攻擊者會(huì)構(gòu)建一條隱蔽的數(shù)據(jù)傳輸通道，將已經(jīng)獲取的機(jī)密數(shù)據(jù)傳送出來(lái)。其實(shí)本階段的名字叫“收獲階段”，但卻沒(méi)有時(shí)間的限制，因?yàn)锳PT攻擊的發(fā)起者與普通攻擊者相比是極端貪婪的，只要不被發(fā)現(xiàn)，攻擊行為往往不會(huì)停止，持續(xù)的嘗試竊取新的敏感數(shù)據(jù)與機(jī)密信息。#p#

如何防御APT攻擊

正所謂“知己知彼，百戰(zhàn)百勝”，在我們對(duì)APT攻擊有一定了解后，也要自省其身，了解企業(yè)的安全現(xiàn)狀，才能做好防護(hù)，例如：企業(yè)與哪些機(jī)構(gòu)通訊交互？企業(yè)的組織結(jié)構(gòu)？現(xiàn)有的安全策略有哪些？哪些數(shù)據(jù)是機(jī)密數(shù)據(jù)，需要加強(qiáng)保護(hù)？是否有檢測(cè)APT攻擊的技術(shù)手段？是否有完善處理信息安全入侵事件的應(yīng)急響應(yīng)流程？員工的安全意識(shí)是否需要強(qiáng)化……

回顧APT攻擊的四個(gè)階段，我們?cè)诿總€(gè)階段可以做些什么呢?

搜集階段：攻擊者在此階段主要任務(wù)是收集信息、制定計(jì)劃。在此階段我們可以依托安全威脅檢測(cè)、預(yù)警系統(tǒng)，識(shí)別攻擊者對(duì)企業(yè)網(wǎng)絡(luò)的嗅探、掃描行為，做到提前防范；加強(qiáng)對(duì)信息系統(tǒng)的安全管理，例如定期進(jìn)行安全檢查、加固，盡量少的暴露系統(tǒng)信息，提高初始攻擊的難度；定期對(duì)員工進(jìn)行安全意識(shí)培訓(xùn)，提高員工的安全防范意識(shí)。

進(jìn)入階段：攻擊者在此階段會(huì)想辦法控制企業(yè)內(nèi)部的計(jì)算機(jī)作為實(shí)施入侵行為的第一個(gè)落腳點(diǎn)。在本階段我們可以依托安全威脅檢測(cè)、預(yù)警系統(tǒng)識(shí)別正在進(jìn)行的攻擊行為；合理配置入侵防御系統(tǒng)、防火墻等產(chǎn)品的安全策略，阻斷常規(guī)的攻擊嘗試行為；提高警惕，避免攻擊者利用社會(huì)工程學(xué)進(jìn)行誘騙；一旦發(fā)現(xiàn)攻擊事件，啟動(dòng)事件處置及應(yīng)急響應(yīng)流程。

滲透階段：滲透階段與進(jìn)入階段類似，攻擊者都會(huì)嘗試不同的攻擊技術(shù)、攻擊手段對(duì)目標(biāo)系統(tǒng)進(jìn)行入侵?？梢钥紤]通過(guò)合理規(guī)劃安全域，加強(qiáng)系統(tǒng)賬戶的安全審計(jì)、系統(tǒng)賬號(hào)及權(quán)限管理、系統(tǒng)安全策略優(yōu)化等手段提高攻擊者繼續(xù)滲透的難度；此外，威脅監(jiān)測(cè)和安全意識(shí)同樣是強(qiáng)化的重點(diǎn)。

收獲階段：在本階段攻擊者會(huì)設(shè)法將獲取的機(jī)密數(shù)據(jù)信息傳送至企業(yè)外部網(wǎng)絡(luò)，因此對(duì)于敏感流量、非法連接的檢測(cè)變得尤為重要。

APT攻擊無(wú)法通過(guò)單一的安全產(chǎn)品和安全技術(shù)進(jìn)行有效的檢測(cè)、防護(hù)，企業(yè)只有建立以安全技術(shù)與安全管理相結(jié)合的縱深防護(hù)體系，才能抵御APT攻擊。此外，在APT攻擊與防御的一般過(guò)程中，威脅檢測(cè)貫穿始終，因?yàn)橹挥屑皶r(shí)發(fā)現(xiàn)APT攻擊，我們才能在第一時(shí)間阻止網(wǎng)絡(luò)攻擊事態(tài)的繼續(xù)惡化，進(jìn)而有的放矢的完善企業(yè)的安全防護(hù)體系。

ADLab APT檢測(cè)防御

啟明星辰是業(yè)界領(lǐng)先的安全產(chǎn)品、安全服務(wù)、安全解決方案供應(yīng)商，在安全服務(wù)方面具有多年的技術(shù)沉淀和積累。ADLab（積極防御實(shí)驗(yàn)室）安全服務(wù)團(tuán)隊(duì)更是經(jīng)歷過(guò)眾多國(guó)家重點(diǎn)科研項(xiàng)目、信息安全保障項(xiàng)目的洗禮，依托專業(yè)的安全產(chǎn)品、安全服務(wù)，以及最佳實(shí)踐，啟明星辰推出M2S2.0持續(xù)威脅監(jiān)測(cè)服務(wù)，協(xié)助企業(yè)鑄造APT攻擊防御的壁壘。

M2S2.0持續(xù)威脅監(jiān)測(cè)服務(wù)的目標(biāo)是通過(guò)專業(yè)的安全產(chǎn)品監(jiān)測(cè)客戶信息系統(tǒng)中的異常網(wǎng)絡(luò)行為和惡意攻擊行為，例如0DAY漏洞利用、特種木馬事件、間諜軟件事件、組合攻擊事件等，依托啟明星辰ADLab專業(yè)的安全服務(wù)能力對(duì)安全產(chǎn)品的告警信息、日志數(shù)據(jù)進(jìn)行深入挖掘、分析，將異常網(wǎng)絡(luò)行為和惡意攻擊事件以分析報(bào)告的形式清晰的展現(xiàn)出來(lái)，使客戶能夠?qū)Π踩录M(jìn)行及時(shí)處置。

M2S2.0持續(xù)威脅監(jiān)測(cè)服務(wù)將安全產(chǎn)品和安全服務(wù)有機(jī)結(jié)合，即以專業(yè)的安全服務(wù)為粘合劑，將傳統(tǒng)的入侵檢測(cè)、蜜罐系統(tǒng)、異常流量檢測(cè)等與敏感流量檢測(cè)、惡意代碼檢測(cè)，以及其它新興的安全產(chǎn)品和檢測(cè)技術(shù)進(jìn)行整合，實(shí)現(xiàn)對(duì)APT攻擊的監(jiān)測(cè)、識(shí)別、告警。下圖為部分監(jiān)測(cè)及服務(wù)目標(biāo)：

目前，M2S2.0持續(xù)威脅檢測(cè)服務(wù)已經(jīng)陸續(xù)在部分重點(diǎn)客戶處進(jìn)行試點(diǎn)部署和實(shí)施，并且取得了不錯(cuò)效果，在不到半年的時(shí)間里，已經(jīng)檢測(cè)到數(shù)起惡意網(wǎng)絡(luò)入侵行為。