很多人認識APT還是從震網(wǎng)蠕蟲開始的，這個事件讓整個世界了解了ATP，知道了世界上有這樣的一種投入如此巨大的資源去進行一件目的性非常強，而且達到一個影響非常大的效果。

俗話說的好，不怕賊偷就怕賊惦記。APT的攻擊手法正是在于隱匿自己，針對特定對象，長期、有計劃性和組織性地竊取數(shù)據(jù)。簡單的說，APT攻擊就是利用一些系統(tǒng)的0day去攻擊某個大型公司里面的某個員工計算機，然后利用內(nèi)網(wǎng)滲透去拿到攻擊者想拿到的東西，一般為資料或者機密文件。

一時間，APT解決方案層出不窮，但數(shù)年之后，APT攻擊事件仍舊頻頻出現(xiàn)。在之前發(fā)布的《APT攻擊防御有道 綠盟NGTP構(gòu)筑企業(yè)安全金鐘罩》一文中我們介紹到，在新一代威脅防御方面，需要建立一個縱深的、多層次檢測防御體系,通過多種技術(shù),對攻擊整個生命周期的各個階段都提供檢測能力,最大程度防止攻擊發(fā)生了而我們卻一無所知的狀況出現(xiàn)。

從產(chǎn)品資料中了解到，綠盟科技推出的NGTP解決方案組件包括：新一代威脅分析檢測設備(TAC)、二級信譽系統(tǒng)、入侵防御系統(tǒng)和專業(yè)人工服務。通過這些組件，構(gòu)建了一個預防、檢測、控制、響應于一體，有效形成安全閉環(huán)的解決方案。該方案不只是發(fā)現(xiàn)高級惡意軟件威脅，而且能控制、清除威脅，真正幫助客戶提升應對新一代威脅及高級惡意軟件的安全能力，防止由此出現(xiàn)的敏感數(shù)據(jù)泄露、業(yè)務中斷等各種風險。

不難看出，TAC是NGTP解決方案的核心，據(jù)了解，綠盟科技TAC通過獨創(chuàng)的靜態(tài)檢測和動態(tài)檢測引擎，能夠不依賴于攻擊特征識別惡意軟件及其危害程度?？捎行z測通過網(wǎng)頁、電子郵件或其他在線文件共享方式進入網(wǎng)絡的已知和未知惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護客戶網(wǎng)絡免遭利用0day漏洞等攻擊造成的各種風險，如敏感信息泄露、基礎設施破壞等。

另外，NGTP解決方案以綠盟安全情報云中心為紐帶，借助端點、IPS、SEG等設備進行防御關(guān)聯(lián)，形成了“端+邊界+云+服務”APT攻擊檢測和防御的全面覆蓋，基于BSA的安全大數(shù)據(jù)分析，提供了全景安全視圖。

以郵件APT定向攻擊為例，當郵件進入到企業(yè)內(nèi)網(wǎng)，TAC設備對郵件協(xié)議進行文件還原，通過本地的沙箱系統(tǒng)進行虛擬執(zhí)行，分析出惡意病毒進行外聯(lián)下載的行為。TAC把分析出的結(jié)果上報到綠盟全球信譽云系統(tǒng)，形成惡意軟件和URL信譽。當本地的NIPS(網(wǎng)絡入侵防護系統(tǒng))進行信譽更新后，即可對這個惡意軟件進行報警和阻斷。

TAC與SEG(郵件安全網(wǎng)關(guān))的聯(lián)動方案能夠更進一步進行病毒清除。由于這個病毒是通過郵件進行傳播的，郵件安全網(wǎng)關(guān)在信譽進行升級后，能夠通過文件信譽識別出郵件中的附件是否為惡意軟件，并根據(jù)結(jié)果對病毒郵件進行隔離或者直接刪除。這種處理方式，使得病毒根本沒有機會對內(nèi)網(wǎng)的終端進行感染。

盡管APT攻擊如此狡猾，只要找對方法，并對整個信息安全環(huán)境有清晰的認知，形成及時的產(chǎn)業(yè)鏈情報收集，甚至全球安全動態(tài)跟蹤便可能真正做到防患于未然。