APT （Advanced Persistent Threat高級(jí)可持續(xù)威脅）是時(shí)下比較熱門的安全話題，也是很具有威脅的網(wǎng)絡(luò)攻擊之一。這種目的性很強(qiáng)的攻擊行為具有著高度的潛伏性，專業(yè)性及隱蔽性。可以針對(duì)特定對(duì)象，長(zhǎng)期有計(jì)劃有組織的竊取機(jī)密數(shù)據(jù)，可以對(duì)企業(yè)，國(guó)家，造成重大的損失。

先來回顧一下最近發(fā)生的一些APT的經(jīng)典案例:針對(duì)谷歌等高科技公司的極光攻擊：通過谷歌一個(gè)員工電腦，獲得了GMAIL系統(tǒng)中很多敏感用戶的訪問權(quán)限；針對(duì)RSA竊取SECURID的令牌攻擊，是通過發(fā)送一封附件帶有FLASH 0day的電子郵件，取得了財(cái)務(wù)一名員工的系統(tǒng)權(quán)限，逐步滲透，竊取了SECURID令牌種子；而針對(duì)伊朗核電站的震網(wǎng)攻擊則是利用了USB移動(dòng)設(shè)備攻擊到了物理隔離的網(wǎng)絡(luò)等等。可見，APT攻擊往往會(huì)攻擊到安全體系中的最薄弱環(huán)節(jié)，而這恰好也驗(yàn)證了安全理論中的木桶原則。

那么針對(duì)視頻中的MI6被入侵這個(gè)案例(http://netsecurity.51cto.com/secu/007_APT/)，如何做到有效的防御，我個(gè)人認(rèn)為需要從時(shí)間及事件的進(jìn)度進(jìn)行劃分。在劃分的每個(gè)階段，進(jìn)行防御。

從時(shí)間上劃分，分為事前，事中，事后三個(gè)階段。首先是事前階段，在這一階段，需要做的事情是非常多的，不過我認(rèn)為首先需要確定核心的機(jī)密數(shù)據(jù)。針對(duì)核心的數(shù)據(jù)進(jìn)行保護(hù)，確定安全區(qū)域，同時(shí)并做好相應(yīng)的基線(BASELINE)建立工作。例如網(wǎng)絡(luò)流量，系統(tǒng)登錄正確錯(cuò)誤頻率，對(duì)關(guān)鍵系統(tǒng)的訪問頻率等等。并建立好具有一定防護(hù)能力的網(wǎng)絡(luò)。一般來說，網(wǎng)絡(luò)大體會(huì)分為如下三層：核心層，匯聚層以及接入層。如下圖所示：

核心層一般與INTERNET直接連接，因此需要部署網(wǎng)絡(luò)IPS，對(duì)內(nèi)網(wǎng)與INTERNET之間的數(shù)據(jù)交互進(jìn)行檢查，以便及時(shí)發(fā)現(xiàn)惡意的流量或攻擊。而匯聚層以服務(wù)器居多，因此需要配置主機(jī)IDS，針對(duì)主機(jī)的所產(chǎn)生的異常行為事件進(jìn)行報(bào)警。此外也可以部署蜜罐這類技術(shù)，也可能會(huì)受到一些不錯(cuò)的效果。而接入層則大多為工作人員的PC機(jī)，因此，需要對(duì)這些PC機(jī)安裝殺毒軟件及主機(jī)IDS，并且進(jìn)行配置相應(yīng)的準(zhǔn)入策略。以防止從內(nèi)部攻陷整個(gè)安全體系。同樣，日志收集分析及事件關(guān)聯(lián)系統(tǒng)也可以部署在網(wǎng)絡(luò)中，以便對(duì)整體網(wǎng)絡(luò)進(jìn)行集中分析。加入安全設(shè)備的對(duì)應(yīng)圖示為：

另外，更重要的一點(diǎn)，便是三分技術(shù)，七分管理，可以從上面的APT例子看出，攻擊都是由于員工的一些安全意識(shí)不足而產(chǎn)生的，因此，加強(qiáng)員工的安全意識(shí)教育也是非常有必要的。事中階段，如視頻中演示的一樣，當(dāng)已經(jīng)檢測(cè)到有（APT）攻擊時(shí)，這個(gè)時(shí)候便是與黑客在時(shí)間上的賽跑，雖然，作為內(nèi)部安全人員，會(huì)比較了解內(nèi)部的網(wǎng)絡(luò)環(huán)境，但對(duì)于潛伏時(shí)間很長(zhǎng)的黑客來說，也可能同樣了解，也變失去了比對(duì)抗普通黑客攻擊的一個(gè)優(yōu)勢(shì)，因此需要的便是及時(shí)響應(yīng)，這也需要事前準(zhǔn)備與多次演練。做到及時(shí)切斷攻擊源，甚至對(duì)核心資源的訪問。需要有多條備份系統(tǒng)及鏈路，保證可以從多渠道進(jìn)行，而不是像視頻中只能眼看著系統(tǒng)遭到破壞。同時(shí)也可以站在黑客的角度，分析黑客的動(dòng)機(jī)及軌跡。事后階段，只有評(píng)估損失，進(jìn)行總結(jié)分析，發(fā)現(xiàn)不足，以免下次遭受同樣攻擊。畢竟誰也不希望當(dāng)事后諸葛亮。

那么從事件的進(jìn)度來劃分，我針對(duì)視頻中的事件畫了一張猜想圖。

在每個(gè)階段，都可以做一些工作來預(yù)防，比如，對(duì)員工進(jìn)行安全教育，對(duì)系統(tǒng)進(jìn)行安全加固，安裝對(duì)應(yīng)的殺毒軟件與IDS，當(dāng)已經(jīng)突破了第一道防線后，黑客在進(jìn)行對(duì)其他服務(wù)器進(jìn)行掃描以及竊取數(shù)據(jù)時(shí)，勢(shì)必會(huì)產(chǎn)生一些蛛絲馬跡，分析這些蛛絲馬跡，需要有IDS及相應(yīng)的流量分析系統(tǒng)完成，同時(shí)，我們可以針對(duì)數(shù)據(jù)進(jìn)行加密或?qū)ξ募到y(tǒng)進(jìn)行改變，使其看得見，拿不到，拿得到，用不了。最后，當(dāng)黑客試圖將這些數(shù)據(jù)進(jìn)行轉(zhuǎn)移，也會(huì)對(duì)網(wǎng)絡(luò)流量產(chǎn)生一定的波動(dòng)，或者即使不產(chǎn)生波動(dòng)，也可以對(duì)核心文件進(jìn)行基于MD5簽名等技術(shù)，在發(fā)現(xiàn)網(wǎng)絡(luò)中不應(yīng)該產(chǎn)生這類MD5簽名的流量中發(fā)現(xiàn)了也可以確定發(fā)生了數(shù)據(jù)丟失問題。因此，在每個(gè)環(huán)節(jié)，均做好對(duì)應(yīng)的防御，則也可以對(duì)APT 起到一定的防御作用。如下圖所示：

綜上，便是我針對(duì)MI6中出現(xiàn)的APT攻擊所采用的部分解決方案。當(dāng)然APT攻擊千變?nèi)f化，如人身體的惡性腫瘤一般潛伏在網(wǎng)絡(luò)內(nèi)部，想徹底防御APT 除了需要足夠的技術(shù)支持外，還需要完善的體系制度，層次的防御體系，幾乎無縫隙的安全體系，像一個(gè)堅(jiān)持鍛煉，身體健康的免疫力強(qiáng)的健康人一樣，使攻擊者無處下手，無處躲藏。同時(shí)我們也可以想象到，在一個(gè)大型的網(wǎng)絡(luò)內(nèi)部，每日的信息及事件告警量也會(huì)很多，如何將這些海量日志進(jìn)行系統(tǒng)分析，從中分離出有用的信息，這也考驗(yàn)了內(nèi)部安全人員敏銳的觀察能力與分析細(xì)節(jié)及蛛絲馬跡的洞察力，同時(shí)也需要一定的實(shí)踐經(jīng)驗(yàn)。另外，鑒于篇幅問題，還沒有針對(duì)時(shí)下比較流行的無線網(wǎng)絡(luò)，以及移動(dòng)設(shè)備安全問題進(jìn)行說明，但并不代表可以忽視掉這部分。這部分也應(yīng)該作為安全考慮的重要環(huán)節(jié)。

總之，需要防范APT，要考慮到方方面面，不能給黑客留下任何的死角，亦要?jiǎng)討B(tài)和靜態(tài)相結(jié)合的方式，雖然很難，但卻無法避免。如果一旦疏忽了一個(gè)小細(xì)節(jié)，變可能會(huì)使整個(gè)防御體系變成馬其諾防線。因此防范APT---任重而道遠(yuǎn)。