“只有兩種類型的企業(yè)：那些知道他們已經(jīng)受到攻擊的，還有那些不知道自己被攻擊的。”——著名計算機安全專家D.Alperovitch

現(xiàn)今，APT類攻擊最為難以防御，也不易被提前察覺。據(jù)統(tǒng)計，國際上明確未曾遭遇APT類攻擊的企業(yè)僅為11%。《中國互聯(lián)網(wǎng)信息安全地下產(chǎn)業(yè)鏈調(diào)查報告》編撰者之一清華大學(xué)信息網(wǎng)絡(luò)工程研究中心博士、副研究員諸葛建偉表示，目前國內(nèi)地下黑色產(chǎn)業(yè)鏈里的刷庫就是一種APT類的威脅，但在公開的地下黑市里與APT相關(guān)的信息比較難以區(qū)分，APT類攻擊都比較隱蔽，所以更傾向于隱秘的單線聯(lián)系，難于監(jiān)控。另外，現(xiàn)在許多經(jīng)受了安全產(chǎn)品“考驗”的入侵技術(shù)，正在逐漸被應(yīng)用到APT類攻擊里。

“低調(diào)”的APT攻擊

2012年最火的APT類攻擊“火焰(Flame)” 利用了MD5的碰撞漏洞，偽造了合法的數(shù)字證書，冒充正規(guī)軟件實現(xiàn)了欺騙攻擊。據(jù)趨勢科技硬件產(chǎn)品經(jīng)理林義軒介紹，APT的攻擊途徑主要分為四種：

1、社交郵件、微博等;

2、針對系統(tǒng)漏洞的攻擊，比如防火墻漏洞、服務(wù)器漏洞等;

3、通過移動設(shè)備進行的間接攻擊;

4、另外則是通過相關(guān)人員的電腦進行破壞。

現(xiàn)在社交郵件是最為常見的攻擊方式，利用系統(tǒng)漏洞比較難于實現(xiàn)。而Flame的攻擊技術(shù)含金量很高，相信其攻擊方法將很快被其他攻擊者模仿利用。Flame里面創(chuàng)新的攻擊途徑，讓攻擊者看到了更加豐富的攻擊方式，獲得更多的“啟發(fā)”。

APT類攻擊具有“不讓你看到”的特點，它會千方百計躲避各類安全監(jiān)測。APT主要發(fā)起低頻攻擊，十分“低調(diào)”：APT具有高隱蔽性，低能見度的特性。而且APT類攻擊很聰明，只會去偷高附加值的數(shù)據(jù)。

由細微處發(fā)現(xiàn)APT破綻

現(xiàn)在還沒有針對APT的特效藥，不過攻擊者為了在受攻擊目標(biāo)內(nèi)部建立更多的立足點，會不停發(fā)送各類社交工程郵件，不斷進行欺騙攻擊，而這就為TDA提供了提前發(fā)現(xiàn)攻擊趨勢的用武之地。APT攻擊為了搜尋到具有價值的計算機，需要不停進行跳板式攻擊，當(dāng)其通過交換機時就很容易被TDA所發(fā)現(xiàn)。TDA是一個網(wǎng)絡(luò)設(shè)備，所以可以對各類網(wǎng)絡(luò)活動進行監(jiān)測，當(dāng)發(fā)現(xiàn)異常網(wǎng)絡(luò)行為——對外擴散、回復(fù)通訊(肉雞上線)——時就可以及時發(fā)現(xiàn)。

TDA面對APT類攻擊，通過沙盒模擬分析系統(tǒng)，來檢測是否存在惡意攻擊。對于加密包，TDA會先將加密包截留下來特別予以監(jiān)測，當(dāng)其發(fā)起攻擊時就能當(dāng)場捕獲。

APT攻擊的出現(xiàn)，需要面對大數(shù)據(jù)的安全分析問題。大數(shù)據(jù)，簡單來說就是海量數(shù)據(jù)，而APT是低頻攻擊，所以要采用海底撈針的方式對大數(shù)據(jù)進行分析。這需要通過交叉分析的方式進行針對大數(shù)據(jù)的安全分析：通過對網(wǎng)絡(luò)日志、服務(wù)器日志等進行關(guān)聯(lián)性分析，從中發(fā)現(xiàn)潛藏的APT攻擊。APT在進行感染行為時，主要采用惡意代碼感染攻擊方式。