提起APT攻擊，相信身處安全圈的人都不會(huì)陌生，近幾年來(lái)，APT攻擊已經(jīng)成為業(yè)界最主要研究和熱議的技術(shù)話題。這種攻擊行為首先具有極強(qiáng)的隱蔽能力，并且具有很強(qiáng)的針對(duì)性，攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息，當(dāng)然針對(duì)被攻擊環(huán)境的各類0Day漏洞收集更是必不可少的環(huán)節(jié)。當(dāng)一切都準(zhǔn)備就緒，攻擊者所鎖定的重要信息便會(huì)從這條秘密通道悄無(wú)聲息的轉(zhuǎn)移。

一般的攻擊主要依賴于數(shù)量，攻擊者會(huì)成百上千次的發(fā)送相同的鏈接或是惡意軟件，在大多數(shù)情況下，這個(gè)過程是自動(dòng)化的，攻擊者使用機(jī)器人或基于web腳本來(lái)推動(dòng)攻擊，如果攻擊了大量的潛在受害者，那么攻擊者可能獲得已經(jīng)獲得了一半的成功。而APT攻擊則會(huì)使用多個(gè)鏈接、不同類型的惡意軟件，并控制攻擊量。

在已經(jīng)發(fā)生的典型的APT攻擊中我們不難看出，攻擊者總是會(huì)想盡一切辦法來(lái)逃避檢測(cè),有些時(shí)候他們確實(shí)會(huì)找到一些可行的方式。因此一個(gè)完整的防御方 案不能依賴某個(gè)單一的檢測(cè)點(diǎn),或者某種單一的技術(shù)來(lái)控制重大的安全風(fēng)險(xiǎn),在新一代威脅防御方面更是如此。因此需要建立的是一個(gè)縱深的、多層次檢測(cè)防御體系,通過多種技術(shù),對(duì)攻擊整個(gè)生命周期的各個(gè)階段都提供檢測(cè)能力,最大程度防止攻擊發(fā)生了而我們卻一無(wú)所知的狀況出現(xiàn)。

面對(duì)如此復(fù)雜的APT攻擊，企業(yè)也不用一籌莫展，只要選擇有效的防御方式，打贏APT攻擊這場(chǎng)硬仗也非難事。去年，行業(yè)內(nèi)技術(shù)領(lǐng)先的安全廠商綠盟科技正式向業(yè)界推出新一代威脅防御整體解決方案——NGTP。據(jù)了解，NGTP是綠盟科技研究院和產(chǎn)品團(tuán)隊(duì)歷經(jīng)3年時(shí)間，共同研究開發(fā)推出的整套針對(duì)新一代威脅防御的安全解決方案。該方案通過分解典型的新一代威脅攻擊步驟，有針對(duì)性地通過方案中的組件和產(chǎn)品來(lái)檢測(cè)和防御新一代威脅，實(shí)現(xiàn)閉環(huán)的安全運(yùn)維管理，避免可能的網(wǎng)絡(luò)外泄行為。

可以說，NGTP解決方案為企業(yè)建立安全防護(hù)的金鐘罩，有效檢測(cè)和防御APT攻擊。在NGTP方案的子場(chǎng)景中，尤其考慮了APT攻擊的攻擊鏈條，重點(diǎn)在于攻擊前階段的檢測(cè)和防御，達(dá)到攻擊“進(jìn)不來(lái)”的效果；在攻擊擴(kuò)散階段，達(dá)到攻擊“藏不住”的效果；而在最終的攻擊后解決，達(dá)到敏感數(shù)據(jù)“帶不走”的效果。

具體而言，威脅分析模塊TAC在攻擊前對(duì)未知威脅進(jìn)行實(shí)時(shí)檢測(cè)，與入侵防御模塊一起聯(lián)動(dòng)，實(shí)現(xiàn)一點(diǎn)發(fā)現(xiàn)、全網(wǎng)警戒，及時(shí)發(fā)現(xiàn)未知惡意軟件的攻擊，最大程度對(duì)其進(jìn)行阻止。 

在攻擊發(fā)生時(shí)，對(duì)于少部分漏網(wǎng)之魚，當(dāng)其進(jìn)入到內(nèi)網(wǎng)，并進(jìn)行回連CnC服務(wù)地址，或者進(jìn)行擴(kuò)散攻擊時(shí)，通過Web端僵尸網(wǎng)網(wǎng)絡(luò)和內(nèi)網(wǎng)流量異常變動(dòng)的監(jiān)控，可以發(fā)現(xiàn)此類攻擊的蛛絲馬跡，暴露出APT攻擊的特點(diǎn)，惡意軟件無(wú)可遁形。 

隱藏最深，具有逃逸特征的高級(jí)惡意軟件，還是滲透到企業(yè)網(wǎng)絡(luò)，進(jìn)行潛伏，最終仍會(huì)發(fā)作，進(jìn)行敏感信息和數(shù)據(jù)地竊取。通過流量異常變化和數(shù)據(jù)泄露防護(hù)方案，企業(yè)能夠發(fā)現(xiàn)和防范最后這些最為狡詐的惡意軟件行為，保護(hù)敏感數(shù)據(jù)的外泄。

不難看出，綠盟科技新一代威脅防御解決方案構(gòu)建了一個(gè)預(yù)防、檢測(cè)、控制、響應(yīng)于一體，有效形成安全閉環(huán)的解決方案。該方案不只是發(fā)現(xiàn)高級(jí)惡意軟件威脅，而且能控制、清除威脅，真正幫助客戶提升應(yīng)對(duì)新一代威脅及高級(jí)惡意軟件的安全能力，防止由此出現(xiàn)的敏感數(shù)據(jù)泄露、業(yè)務(wù)中斷等各種風(fēng)險(xiǎn)。

其實(shí)對(duì)于企業(yè)而言，面對(duì)復(fù)雜多變的安全威脅挑戰(zhàn)，除了有力的安全產(chǎn)品及方案保駕護(hù)航外還需要安全意識(shí)培訓(xùn)。企業(yè)應(yīng)該對(duì)用戶進(jìn)行培訓(xùn)來(lái)抵御最明顯的威脅，包括網(wǎng)絡(luò)釣魚攻擊。安全意識(shí)培訓(xùn)是持續(xù)的舉措，能夠直接解決企業(yè)面臨的風(fēng)險(xiǎn)。