有些將APT定義為由民族或國家發起的攻擊，有些則將APT描述為竊取一般數據或者知識產權信息的威脅。而準確地說，高級持續性威脅(Advanced Persistent Threat)是指組織(特別是政府)或者小團體使用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。本文中，我們將看看APT(高級持續性威脅)是如何演變的以及你需要如何抵御這種類型的威脅。

哪些人受到威脅?

一些網絡管理員看完APT的定義后，得出的結論是他們的網絡并沒有受到威脅。中小型企業怎么可能成為大型網絡犯罪團伙或國家的攻擊對象?實際上，APT剛開始主要是政府機構為國防需要采取的攻擊手段，后來APT攻擊者將他們的范圍擴大到了攻擊公司，例如谷歌，但并不是只有大型高科技公司才會成為攻擊目標。雖然對于APT攻擊者而言，政府機構或者涉及國家安全或者國防承包項目的大型跨國企業更具吸引力，但企業規模并不是關鍵，因為近來，很多小公司也開始負責存儲情報片段數據來獲得政治或經濟利益。還有那些處于一定職位，能夠訪問情報信息的個人也可能成為攻擊目標。

即使是在安全方面投入血本的大型企業仍然可能受到APT攻擊，通過各種不同的手段，例如有時候只需要簡單地利用尚未修補的已知漏洞。在企業環境中，政策通常會規定新的補丁在部署到生產機器前必須進行全面的測試，這樣做無疑可以避免不兼容的問題，但這卻讓你的系統處于威脅之中。在其他情況下，無線安全漏洞、智能手機橋接，甚至云供應商網絡滲透都可能為APT攻擊者敞開大門。

任何規模的公司，只要員工可以訪問網站、使用電子郵件(尤其是HTML郵件)、傳輸文件等，就有可能受到APT威脅，這些活動可以被利用來傳輸APT組件，例如惡意軟件可以通過路過式下載、感染附件或文件進行傳輸。即使是部署了強大的邊緣保護的企業仍然無法逃過APT攻擊，例如通過內部接入被感染的可移動驅動器(U盤、閃存卡)、其他地方被感染的筆記本電腦等。

APT采取怎樣的形式?

高級持續性攻擊的“高級”是指，這種攻擊形式的攻擊者有一個基于特定戰略的縝密的計劃，即使他們使用的是相對簡單的機制來實施。換句話說，APT攻擊者不一定是嫻熟的黑客，他們可以利用互聯網上現成的腳本，和修改別人的惡意軟件，或者他們可以創建自定義惡意軟件來攻擊特定目標。通常，他們使用許多不同攻擊類型來攻擊同一目標，并且不斷來回攻擊，也就是所謂的“持續性”。并且，這種攻擊通常是以隱形且低調的方式進行的，APT攻擊者都是隱形專家，他們采取措施來掩蓋他們的蹤跡，避免在日志中留下入侵的證據。

APT攻擊者也使用社會工程技術和/或招募內部人員來獲取有效登錄憑證。分支機構通常沒有總部那么嚴格的安全防范措施，因此有時會被利用來通過遠程訪問向目標系統植入惡意軟件。一旦安裝了惡意軟件，攻擊者就能夠從任何地方訪問和控制你的系統，或者采用自動化程序，這樣惡意軟件就會將你的重要數據發送給攻擊者。

APT攻擊者選擇使用何種工具主要取決于他們的攻擊目標是什么以及其網絡配置和安全狀況。這里有個簡單的比喻：竊賊可能可以使用信用卡打開簡單鎖的房門，但是如果所有門都是呆鎖，他就要找不同的工具來進去了。同樣的，APT攻擊者通常會盡可能使用最簡單的工具來進行攻擊。為什么要浪費一個定制的先進工具在不必要的工作上呢?而且這種工具只會給APT攻擊者留下馬腳。

APT攻擊者經常利用僵尸網絡，僵尸網絡能夠給他們提供更多資源來發動攻擊，并且很難追蹤到攻擊的源頭。雖然僵尸網絡經常與垃圾郵件聯系在一起，但它們可以用于多種類型的攻擊。一個簡單的命令和控制服務器就可以控制位于數百個不同公司的電腦，這些電腦上的惡意軟件可以不斷更新，一直“領先于”你的檢測工具。即使你的公司不是APT攻擊的目標，你的網絡也可能在你不知情的情況下被用來作為犯罪工具：作為僵尸網絡的一部分，用來攻擊其他網絡。

檢測APT

必須明確的是，APT并不是一種特定攻擊方法，它描述了“誰、什么和為什么”而沒有說明“如何”。市面上并沒有商業解決方案可以真正檢測或者抵御APT，然而，APT卻淪為了眾多安全供應商的營銷短語和流行用語(雖然他們甚至不知道它的含義)。

針對已知攻擊的解決方案可能無法檢測先進的APT攻擊，因為這種攻擊是以“隱形模式”進行的。檢測APT需要一個良好的監控解決方案，能夠識別和分析服務器和客戶端的微妙變化和異常。無論攻擊者的犯罪計劃多么縝密，他必然會留下點蹤跡，也就是刑事調查中的痕跡證據，這種證據并不明顯，甚至可能是肉眼看不見的。在數字世界中，APT攻擊者為了發動攻擊(進入網絡、植入惡意軟件、復制數據)肯定會在系統的某處留下一些模糊的蹤跡。你的安全軟件必須能夠識別這些標記，將其作為潛在惡意活動的指示。與手動檢查文件相比，軟件不僅更快而且更有效，因為APT攻擊者通常會使用這樣的詭計：惡意程序文件名與常見Windows文件類似。軟件可以識別文件名的細微區別(例如使用大寫I代替小寫L等)，而肉眼很難識別。

一旦發現了異常行為，就會引發對受感染機器進行更進一步的檢查。另一個關鍵要素是及時通知，這樣的話，就可以盡快對機器進行全面檢查，而且應該及時保存APT攻擊的證據，因為聰明的APT攻擊者會嘗試刪除他們的蹤跡以避免被檢測到。

軟件是檢測網絡中異常的最好工具，而APT檢測的另一方面則需要人為因素，也就是指你可以收集關于網絡犯罪的最新情況。正如傳統恐怖分子通常會通過 “聊天框”來發出信號，APT攻擊者可能會通過不同的通信渠道發出信號，說明攻擊正在計劃中或者已經取得進展等。但你并不需要安排一個人來攔截和分析這些聊天信息，但是你需要清楚網絡犯罪世界發生了什么事情。

保護你的網絡

很多抵御APT攻擊的防御措施與你可能已經部署的用來抵御一般惡意軟件和入侵威脅的措施相同。良好的防病毒和防惡意軟件是很重要的，但同樣重要的是，你要明白在APT攻擊中，滲透者的資源通常要比那些一般攻擊者要多得多。這意味著他們可以雇傭專門的程序員隨時來創建或者修改惡意軟件，根本沒有安全供應商創建了定義，也就是零日威脅。

根據定義，APT是一種有針對性的攻擊，公司的公共事業和聲譽都可能導致公司成為APT攻擊目標。因此聲譽/品牌監控和管理可以是抵御這種攻擊的重要因素。“邪惡公司(Evil corporations)”和那些立場(政治立場、社會立場或其他)不受APT攻擊者歡迎的公司很可能成為攻擊目標。而在某些情況下，處于某一行業(油公司、銀行等)就足以讓你成為攻擊對象。然而，你可以通過精心培養公司的公眾形象來減少風險。