APT攻击背后的秘密:攻击性质及特征分析

 对企业的管理者和CSO们而言，高级可持续性威胁(APT)是他们的噩梦。对于APT攻击，企业很难做到阻止，应对这种攻击通常需要明确的响应和恢复计划，这样做的目的是减少损害和损失。因为一旦发现APT活动，这通常意味着已经为时已晚。趋势科技安全研究副总裁Rik Ferguson补充谈到，当有针对性的攻击面对企业传统安全架构和管理模式时，事实确实是如此。

然而，安全专业人士知道当应对有针对性攻击时，需要使用不同的技术和战略，对于他们而言，这里还有战斗的机会。

对于很多企业领导而言，APT侧重于单个攻击，使用高级攻击方法，以获取敏感信息或核心数据。攻击者获取信息后，就可以出售或使用这些信息来获得某种类型的(经济、社会、军事等方面)好处。在这种事件背后的参与者可能是进行间谍活动的国家，或者在重大产品发布会或并购之前想要占上风的商业竞争对手。

需要注意的是，在这种情况下商业竞争对手或是国家并不会直接攻击你，这些攻击者会攻击第三方，并利用他们来发起攻击和管理攻击活动。这也是APT攻击很难阻止的原因，企业可以抓到进行直接攻击的黑客并阻止他们，但找到攻击根源完全是另一回事。

另外，一些普通的网络罪犯也在使用这些用来发动APT攻击的方法，所以在大多数情况下，称他们为高级攻击并不恰当。 此外，经常被人们用来描述APT攻击的零日漏洞利用能力，也不应该作为APT的明显特征。 各种网络罪犯都在利用零日漏洞，因为这种工具能够带领他们实现更高程度的成功。

有针对性APT攻击和普通网络攻击之间的区别在于目的或是整体目标，而不是他们使用的工具、战略或程序。 安全供应商可能不会苟同，但当你看看那些APT攻击和导致敏感记录或企业机密丢失而没有归类为APT的事件，区别在哪里？

APT活动背后的攻击者并不会使用网络巫术来实现他们的目标。他们利用基本攻击方法(例如社会工程、恶意软件、软件漏洞、web漏洞和公开课用的工具)来完成其攻击。 他们与一般攻击者的区别是，他们有资金支持，并且有明确的任务目标。 他们会尽一切力量来实现其目标，无论花多长时间。问题是，当涉及到安全性和防御部署时，很多企业没有太过重视，使他们轻松被命中。

APT相关的活动并不是攻击，它们是有针对性的持续活动。 这些活动背后的操作者会花费大量时间和经历并制定详细计划，让他们不仅能够访问企业网络和数据，还能够保持其访问权限达数年之久。

在2009年，Lockheed Martin公司发布了一份关于APT防御的白皮书，其中介绍了这些高级攻击活动的特征，以及如何利用现有基础设施来打击这些活动。这份白皮书中写道：“由于传统的基于漏洞的做法并不够好，我们需要了解这种威胁本身、它的意图、能力以及操作模式。”

​