近幾年，安全威脅發生了很大變化，尤其是高級持續性威脅（簡稱APT）有愈演愈烈之勢。那么，APT威脅最近有哪些新的發展？傳統檢測方法應對APT有哪些不足？我們又該如何防御？對此，很多安全公司都形成了自己的思路，并推出了相關解決方案。而“棱鏡”事件警示我們，我國在信息安全領域急需自主可控，對付APT攻擊同樣如此。所幸，本土安全廠商啟明星辰公司已經推出APT攻擊防御解決方案，并在多個行業實現應用。

[[84456]]

層出不窮的APT攻擊事件

先來回顧一下近年來的一些APT攻擊事件：

2007年發現的Stuxnet蠕蟲病毒（超級工廠病毒）曾經感染了伊朗境內14臺離心機的系統，最終致使離心機遭到損壞。相關資料顯示，Stuxnet病毒最早于2005年就已經存在，被稱為Stuxnet0.5。在2011年，一種基于Stuxnet代碼的新型的蠕蟲Duqu又出現在歐洲，號稱“震網二代”。

2010年的GoogleAurora(極光)攻擊是一個十分著名的APT攻擊。Google的一名雇員點擊即時消息中的一條惡意鏈接，引發了一系列事件導致這個搜索引擎巨人的網絡被滲入數月，并且造成各種系統的數據被竊取。

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其后果導致很多使用SecurID作為認證憑據建立VPN網絡的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取。

2012年，卡巴斯基實驗室發現Flame(火焰)病毒它是一種高度復雜的惡意程序，被用作網絡武器并已經攻擊了多個國家。它是迄今為止最復雜、威脅程度最高的計算機病毒。

2013年3月20日，韓國多家大型銀行及數家媒體遭受APT攻擊;

2013年4月，啟明星辰發現了一個擁有合法數字簽名的后門程序，這個后門利用AdobeFlash漏洞(CVE-2013-0634)，可能已經存活很長時間。

2013年5月，截獲以波士頓馬拉松爆炸事件為題材的APT郵件攻擊。

2013年5月，火眼實驗室發現了針對我國政府要員的APT攻擊郵件，郵件包含針對Office的EXP套件(CVE-2012-0158)。

2013年7月15日，TrendMicro宣布發現一個針對亞洲和歐洲政府機構的APT攻擊。這個攻擊發起是通過一封定向釣魚郵件。郵件以中國國防部外事辦的名義發出，對特定受害人具有很強的誘惑力。#p#

APT威脅最新發展動態

根據FireEye發布的《2012年下半年高級威脅分析報告》指出，約每三分鐘就會有一個組織或者單位遭受一次惡意代碼攻擊，特指帶有惡意附件、或者惡意WEB鏈接、或者CnC通訊的郵件；在所有遭受攻擊的企業和組織中，擁有核心關鍵技術的技術類企業占比最高；在定向釣魚郵件(spearphishingemail)中經常使用通用的商業術語，具有很大的欺騙性;92%的攻擊郵件都使用zip格式的附件，剩下的格式還有pdf等。

另外，根據CN-CERT發布的《2012年我國互聯網網絡安全態勢綜述》顯示，2012年我國境內至少有4.1萬余臺主機感染了具有APT特征的木馬程序。

分析以上APT攻擊事件，我們會發現：我們對跨年度的惡意代碼無法及時感知，傳統反病毒體系的獲取實時性遭到了挑戰；APT攻擊的攻擊范圍廣針對性強，它不僅僅局限于傳統的信息網絡，還會威脅工控系統、移動終端等其它信息系統，針對如能源、軍工、金融、科研、大型制造、IT、政府、軍事等大型組織的重要資產發動APT攻擊；APT威脅愈演愈烈，普遍存在且影響嚴重。隨著魚叉式釣魚攻擊、水坑攻擊等新型攻擊技術和攻擊手段的出現，對于APT攻擊的檢測和防范變得越發困難。

目前，電子數據信息對于國家、政府、企業的重要性與日俱增，對競爭對手的意義也同樣重大，如果信息系統遭受APT攻擊，那么單位受到的影響也會日益嚴重。然而在APT時代，由于感知能力比較差，感知時間比較長，基于事后簽名機制的傳統產品如IPS、IDS、殺毒軟件等，在面對APT攻擊時，這種事后簽名機制幾乎失效。與此同時APT攻擊針對性、隱蔽性又在不斷加強，攻擊者通過持續的攻擊，對信息系統的威脅仍在不斷加大。因此，加強APT攻擊防護任務艱巨。#p#

APT攻擊技術日益復雜

攻擊過程：APT攻擊一般可以劃分為4個階段，即搜索階段、進入階段、滲透階段、收獲階段。

在搜索階段，APT攻擊的攻擊者會花費大量的時間和精力用于搜索目標系統的相關信息、制定周密的計劃、開發或購買攻擊工具等，在進入階段，攻擊者會進行間斷性的攻擊嘗試，直到找到突破口，控制企業內網的第一臺計算機，隨后進入滲透階段，攻擊者利用已經控制的計算機作為跳板，通過遠程控制，對企業內網進行滲透，尋找有價值的數據，最后，攻擊者會構建一條隱蔽的數據傳輸通道，將已經獲取的機密數據傳送出來。

這里需要強調一點，APT攻擊的發起者與普通攻擊者相比有所不同，只要不被發現，攻擊行為往往不會停止，并持續的嘗試竊取新的敏感數據與機密信息。

攻擊手段：APT攻擊是攻擊者利用多種攻擊技術、攻擊手段，同時結合社會工程學的知識實施的復雜的、持續的、目標明確的網絡攻擊，這些攻擊技術和攻擊手段包括sql注入攻擊、XSS跨站腳本、0Day漏洞利用、特種木馬等。

近幾年，APT攻擊技術更加復雜、攻擊手段更加隱蔽，而且攻擊已經不局限于傳統的信息系統，而是逐漸把目標擴散到工業控制等系統，例如針對工業控制系統編寫的破壞性病毒stuxnet、duqu。#p#

APT攻擊防御手段需持續改進

傳統的檢測手段在應對APT攻擊時已顯得力不從心。因為傳統的檢測手段主要針對已知的威脅，對于未知的漏洞利用、木馬程序、攻擊手法，無法進行檢測和定位，并且很多企業因為缺少專業的安全服務團隊，無法對檢測設備的告警信息進行關聯分析。目前，在APT攻擊的檢測和防御上，主要有如下幾種思路：

◆惡意代碼檢測：在互聯網入口點對Web、郵件、文件共享等可能攜帶的惡意代碼進行檢測。

◆數據防泄密：在主機上部署DLP產品，APT攻擊目標是有價值的數據信息，防止敏感信息的外傳也是防御APT攻擊的方法之一。

◆網絡入侵檢測：在網絡層對APT攻擊的行為進行檢測、分析，例如網絡入侵檢測類產品。

◆大數據分析：全面采集網絡中的各種數據(原始的網絡數據包、業務和安全日志)，形成大數據，采用大數據分析技術和智能分析算法來檢測APT，可以覆蓋APT攻擊的各個階段。

上述的防御方式各有各自的特點，惡意代碼檢測產品通常部署在互聯網入口點，可以在APT攻擊的初始階段對攻擊進行檢測、發現，例如可以抓取攜帶后門程序、異常代碼的word文件、pdf文件等等;網絡入侵檢測可以在網路層對APT攻擊行為進行檢測，如果攻擊者通過跳板對內網進行滲透攻擊，網絡入侵檢測系統可以進行預警、定位;數據防泄密可以防止APT攻擊者將計算機中的敏感數據外傳，可以有效降低攻擊行為所造成的損失;大數據分析的檢測比較全面，可以覆蓋APT攻擊的各個環節。

但是，啟明星辰ADLab副總監楊紅光認為：“雖然每種防御方式針對APT攻擊的各個階段進行檢測，但是由于APT攻擊的復雜性、隱蔽性，不排除有漏報或誤報的可能，所以APT攻擊的檢測和防御產品同樣需要跟隨信息安全的發展動態，持續的進行改進。”

因此，他建議在不能完全擋住APT攻擊的情況下，組織要將APT攻擊危害降到最小，就需要做到以下幾點：

要有APT攻擊檢測和防御的手段，可以通過安全檢測產品，由專業的安全服務人員進行運維、分析，及時發現、處置攻擊事件。

要定期的組織信息安全培訓，警惕攻擊者結合社會工程學進行欺騙攻擊。

要加強對重要信息資產的保護，從訪問控制、用戶權限、安全審計等等層面對控制措施和手段進行優化和加強。

針對APT攻擊，很多安全廠商都推出了相關的安全防護產品及解決方案。楊紅光表示，針對APT攻擊，啟明星辰公司為用戶提供了專業的安全產品以及專業的安全服務。啟明星辰依托惡意代碼檢測引擎、網絡入侵檢測引擎、蜜罐系統、Armin大數據分析系統等安全產品實現對用戶信息系統的安全監測，然后由其安全服務團隊積極防御實驗室（ADLab）的安全服務專家對APT攻擊進行分析、跟蹤，幫助用戶及時處理APT攻擊事件。