在之前的文章中(APT攻擊背后的秘密：攻擊性質及特征分析;攻擊前的"敵情"偵察;攻擊時的武器與手段;攻擊時的漏洞利用;攻擊時的命令和控制)，我們已經了解了APT攻擊的特征、"敵情"偵察、攻擊的武器和手段、漏洞利用以及攻擊時的命令和控制。本文我們將探討APT攻擊后期的數(shù)據(jù)滲出。在這個階段，也是APT攻擊的最后階段，如果APT攻擊活動還沒有被阻止，那么數(shù)據(jù)很可能即將被泄漏出去。

數(shù)據(jù)滲出是APT攻擊的最后一步，如果攻擊者完成這一步，你企業(yè)將面臨巨大損失。在目標數(shù)據(jù)被確定后，這些數(shù)據(jù)將被復制并通過C2通道移出網絡，或者可能被復制到網絡中的另一區(qū)域，然后再被移出。從這一點來看，企業(yè)應該容易發(fā)現(xiàn)被動攻擊和有針對性攻擊。

正如前面提到的，被動攻擊動靜很大，分層防御措施很容易發(fā)現(xiàn)這種攻擊。另一方面，有針對性攻擊完全相反。

有針對性攻擊活動背后的攻擊者會盡可能保持低調，所以不可能出現(xiàn)大規(guī)模數(shù)據(jù)轉儲。在有針對性攻擊中，我們會看到數(shù)據(jù)偽裝成正常流量通過C2通道離開網絡。

在前面C2文章中，我們談到了機會攻擊通常會利用有著不良聲譽的通信信道。對于每個感染的主機，攻擊者會使用了相同的容易識別的通道。

這種機會攻擊會將數(shù)據(jù)滲出到其他國家的數(shù)據(jù)中心的服務器，當?shù)胤煽赡軟]有禁止這種數(shù)據(jù)使用。在這些情況下，你不要指望ISP提供幫助。所以，如果你不阻止數(shù)據(jù)離開網絡，即使你發(fā)現(xiàn)數(shù)據(jù)的滲出，這種信息從法律上看也沒多大用處。

有針對性攻擊會攻擊合法服務器來存儲數(shù)據(jù)。在很多情況下，受感染的服務器管理員可能不知道他們正在托管不屬于自己的數(shù)據(jù)，而當他們意識到有什么不對勁時，攻擊者已經早已離去。

在滲出階段，最好的防御措施就是感知。你需要知道哪些數(shù)據(jù)進出你的網絡，監(jiān)控出站流量和入站流量都很重要。

DLP解決方案也可以用于應對滲出階段。如果配置得到，DLP產品可以幫助監(jiān)控網絡流量，并控制流量。它們能夠發(fā)現(xiàn)未經授權的加密，被動和有針對性攻擊會利用加密來隱藏通信。還能夠發(fā)現(xiàn)異常流量模式。

另外，監(jiān)控用戶賬戶活動也可以作為防御措施，有些合法賬戶可能出現(xiàn)異?；顒?。

在C2階段使用的防御措施同樣可用于滲出階段，包括根據(jù)IP地址、IPS和IDS系統(tǒng)(可以調整為監(jiān)控所有階段的活動)以及應用防火墻規(guī)則(控制哪些程序允許發(fā)送流量到外部)阻止訪問。這些規(guī)則還可以應用到工作站或網段。

假設你捕捉到滲出過程，日志記錄將成為事件響應的關鍵資源，因為日志能夠確定發(fā)生了什么、如何發(fā)生等。通常情況下，在被動或有針對性攻擊中，確定攻擊者是很重要的，但實際上這是不可能的，這個問題我們主要是靠猜測而不是事實。

無論采用何種防御措施，最好的辦法是在事故發(fā)生前阻止事故。這正是澳大利亞信號理事會(ASD)的主要工作，其網絡不斷有攻擊者試圖訪問敏感信息。ASD采用了四種防御措施，并指定它們作為其網絡的強制性要求。這四個強制性措施包括：

1. 應用程序白名單

2. 第三方軟件補丁管理

3. 操作系統(tǒng)補丁管理

4. 權限管理(限制使用域或本地管理員權限的用戶數(shù)量)

在本系列文章的開始，我們探討了有針對性攻擊和被動攻擊的目的的區(qū)別，以及這些攻擊者的總體目標。工具、戰(zhàn)略和程序并不重要。你的企業(yè)更有可能成為機會攻擊的受害者，而不是受民族國際資助的有針對性攻擊的受害者。

應對這兩種攻擊的最好辦法就是分層防御。感知和可視性是快速反應以及減少損失的關鍵。雖然持續(xù)性攻擊活動最終會成功，但我們可以提高攻擊者的難度，以及減少損失。關鍵是要權衡風險，制定符合企業(yè)需求的安全計劃，不要恐懼APT。