互聯(lián)網(wǎng)的普及也帶來了網(wǎng)絡(luò)病毒的肆意，傳統(tǒng)的網(wǎng)絡(luò)安全軟件可以有效的防范蠕蟲病毒、間諜軟件、木馬、釣魚等網(wǎng)絡(luò)攻擊威脅。然而，采用未知威脅為手段的APT攻擊則是針對(duì)數(shù)據(jù)庫(kù)、大量數(shù)據(jù)進(jìn)行搜集，且所有的APT已知威脅只是對(duì)過去的積累和收集，很多新興威脅沒有樣本可循，這增加了APT威脅的攻擊力，并讓我們?cè)桨l(fā)難測(cè)，由于APT攻擊的存在，企業(yè)暴露在未知威脅影響下的時(shí)間也越來越多，風(fēng)險(xiǎn)越來越大。

此外，由于云計(jì)算和移動(dòng)互聯(lián)網(wǎng)的普及，智能終端讓任何接入點(diǎn)都可能變成系統(tǒng)漏洞，企業(yè)數(shù)據(jù)中心也變成一個(gè)彈性的外圍，很多網(wǎng)關(guān)/邊界式防護(hù)都會(huì)因此存在防護(hù)的缺失。網(wǎng)絡(luò)威脅背后的推動(dòng)力是金錢利益與商業(yè)犯罪，其發(fā)展演變一定還會(huì)持續(xù)，所以一定要構(gòu)筑一個(gè)面向APT威脅的綜合防護(hù)的體系，實(shí)現(xiàn)企業(yè)自身的安全進(jìn)化。

APT是黑客以竊取核心資料為目的，針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和入侵行為，是一種蓄謀已久的“惡意商業(yè)間諜威脅”。這種行為往往經(jīng)過長(zhǎng)期的經(jīng)營(yíng)與策劃，并具備高度的隱蔽性。所謂知己知彼百戰(zhàn)百勝，防范APT，先從了解它入手。

APT是這么“來”的

APT的攻擊手法在于隱匿自己，針對(duì)特定對(duì)象，長(zhǎng)期、有計(jì)劃和有組織地竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報(bào)的行為，實(shí)際上是一種“網(wǎng)絡(luò)間諜”的行為。APT入侵的途徑多種多樣，主要包括以下幾方面：

首先是“水坑攻擊”，攻擊者在特定的網(wǎng)站上進(jìn)行掛馬，而這些網(wǎng)站是受害者經(jīng)常訪問的，從而導(dǎo)致惡意軟件入侵。[l1] 其次是“魚叉攻擊”，以社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一。隨著社交工程攻擊手法的日益成熟，這些郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)事件中可以發(fā)現(xiàn)，這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客剛一開始，都是針對(duì)某些特定員工發(fā)送釣魚郵件，以此作為使用APT手法進(jìn)行攻擊的源頭。再次是利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息是使用APT攻擊的另一重要手段。

總而言之，APT正在通過一切方式，繞過基于代碼的傳統(tǒng)安全方案，例如防病毒軟件、防火墻、IPS等，且更長(zhǎng)時(shí)間地潛伏在系統(tǒng)中，讓傳統(tǒng)防御體系難以偵測(cè)。

APT是這么“做”的

“潛伏性和持續(xù)性”是APT攻擊主要特點(diǎn)?！皾摲浴保@些新型的攻擊和威脅可能在用戶環(huán)境中存在一年甚至更久，會(huì)不斷收集各種信息，直到收集到重要情報(bào)。而發(fā)動(dòng)APT攻擊的目的往往不是為了在短時(shí)間內(nèi)獲利，而是把“被控主機(jī)”當(dāng)成跳板，持續(xù)搜索，直到能徹底掌握所針對(duì)的目標(biāo)人、事、物?！俺掷m(xù)性”APT攻擊具有持續(xù)性，甚至可能長(zhǎng)達(dá)數(shù)年，讓人無從察覺。在此期間，這種“持續(xù)性”體現(xiàn)在攻擊者不斷嘗試的各種攻擊手段以及滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏。

同時(shí)，APT攻擊還具有“鎖定特定目標(biāo)”和“安全遠(yuǎn)程控制工具”的本事，“鎖定特定目標(biāo)”針對(duì)特定用戶，長(zhǎng)期進(jìn)行有計(jì)劃性、有組織性的竊取情報(bào)行為，針對(duì)被鎖定對(duì)象寄送以假亂真的社交工程惡意郵件，例如冒充客戶的來信，取得在計(jì)算機(jī)植入惡意軟件的第一個(gè)機(jī)會(huì)?！鞍惭b遠(yuǎn)程控制工具”攻擊者建立一個(gè)類似僵尸網(wǎng)絡(luò)Botnet的遠(yuǎn)程控制架構(gòu)，會(huì)定期傳送有潛在價(jià)值文件的副本給命令和控制服務(wù)器(C&C Server)審查，過濾后的敏感機(jī)密數(shù)據(jù)利用加密的方式外傳。

有的放矢 綠盟“下一代威脅防御解決方案”為APT而生

綠盟科技為了應(yīng)對(duì)日益增多APT高級(jí)持續(xù)性威脅，推出下一代威脅防御解決方案(簡(jiǎn)稱NGTP)，解決方案由多個(gè)模塊組成，包括綠盟全球威脅信譽(yù)系統(tǒng)、威脅分析系統(tǒng)、入侵防護(hù)模塊、郵件過濾模塊、終端安全模塊。

??

威脅進(jìn)不來

把威脅抵擋在企業(yè)之外是NGTP解決方案的重點(diǎn)。根據(jù)上面APT威脅嘗試進(jìn)入的分析，針對(duì)“水坑攻擊”和“魚叉攻擊”這些高級(jí)攻擊手法，在網(wǎng)絡(luò)，Web，郵件和終端多個(gè)層面進(jìn)行縱深檢測(cè)和防御。在網(wǎng)絡(luò)層面，尤其是Web上網(wǎng)訪問，采用威脅分析系統(tǒng)TAC產(chǎn)品和IPS產(chǎn)品聯(lián)動(dòng)的方式進(jìn)行;在郵件層面，采用威脅分析系統(tǒng)TAC和郵件安全網(wǎng)關(guān)聯(lián)動(dòng)方式進(jìn)行。

??

擴(kuò)散藏不住

對(duì)于極少數(shù)成功進(jìn)入企業(yè)的惡意軟件，通過機(jī)器學(xué)習(xí)建立模型，查找惡意軟件向外進(jìn)行CnC回連、對(duì)內(nèi)進(jìn)行擴(kuò)散的企圖。另外，大數(shù)據(jù)安全分析技術(shù)，對(duì)各種網(wǎng)絡(luò)安全設(shè)備告警，操作系統(tǒng)日志進(jìn)行統(tǒng)計(jì)、關(guān)聯(lián)，既為威脅態(tài)勢(shì)提供宏觀視圖，也為惡意軟件擴(kuò)散行為提供微觀細(xì)節(jié)展示。

綠盟科技NGTP方案，通過綠盟全球威脅情報(bào)系統(tǒng)(NTI)實(shí)現(xiàn)威脅信息的共享與實(shí)時(shí)推送，在具體防護(hù)方法上，以檢測(cè)未知威脅為核心，利用智能網(wǎng)管和大數(shù)據(jù)分析技術(shù)，對(duì)來自終端、安全網(wǎng)關(guān)、操作系統(tǒng)的告警信息進(jìn)行綜合分析、可視化呈現(xiàn)和管控，降低安全運(yùn)維成本，構(gòu)建下一代防御安全防御體系。