两招抵御APT攻击

两招抵御APT攻击。当前，APT(Advanced Persistent Threat，高级持续性威胁)攻击事件此起彼伏，从针对乌克兰国家电网的网络攻击事件，到孟加拉国央行被黑客攻击导致8100万元美元被窃取，APT攻击已经达到无孔不入的地步。那么什么是APT，在安全防护上究竟又从何入手呢?

警惕APT(高级持续性威胁)

黑客大杀器——APT

从APT名字中的高级和持续性这两个单词中就能明白APT同一般的攻击手法不是一个段位。以伊朗核设施被震网病毒攻击案例为例。早在05年某超级大国就通过各种手段突破伊朗核设施的层层防护，将病毒植入其中。震网病毒造成伊朗1/5的离心机报废，直到2012年因为在一个U盘中发现了震网病毒才彻底解决掉这个问题。

Stuxnet病毒事件就是一个典型的APT攻击案例

整整7年，伊朗都没搞明白到底自己的离心机各种出状况是为什么。咱们中国有句老话：不怕贼偷，就怕贼惦记。而APT正是这句话最好的写照。通过未公开漏洞，将木马、病毒等植入并在之后的很长一段时间内盗取资料或者破坏对方的设备，这样的隐秘长效的手法使得APT攻击除了被广泛应用在商业中进行信息窃取外，更已上升到国家与国家的信息战层面，成为各国政府的头号黑客攻击大杀器。那么究竟该如何预防APT攻击呢?笔者认为下面的两点最为关键。

首先，就是针对高级威胁的判定。

近年来，有组织的APT攻击愈发呈现出隐蔽性与多样化，并且往往针对商业和政治目标展开长期的经营与策划。不过一旦得手，其影响则是巨大而深远的。因此，APT攻击的特点是不会追求短期经济收益或简单的系统破坏，却会专注于步步为营的系统入侵，每一步都要达到一个目标，而不做其他多余的事来打草惊蛇。

正是由于APT攻击针对性强、隐蔽性高、代码复杂度高等特点，传统的安全防御手段往往应对乏力，而受到攻击的个人或机构更是无法进行有效判定，成为APT攻击屡屡得手的关键原因。

事实上，任何静态的防御技术对于APT攻击来说都是基本无效的。因为APT攻击面往往很小，单纯依靠本地数据监测，无法进行有效判定。对此，企事业单位急需革新传统的、孤立的安全理念与防护手段，建立全新的技术体系来应对APT引发的挑战。而安全厂商则应从中起到引导和带头作用，协助企业建立轻量级的大数据安全平台，通过收集企业内部各类安全数据展开关联分析，结合多源头的可机读威胁情报应用，沙箱动态行为发现，以及关联引擎分析等多维度方法，来实现对高级威胁的判定。

其次，则是在判定后，如何进行有效处置。

各种传统的安全防护技术与防护产品在APT攻击的检测与防御中仍将发挥基础性作用，不仅要进行常规系统防御，还要成为探测攻击信息的主要情报来源。

不过面对不易察觉的APT攻击，应该从分析大量攻防基础数据入手，逐步对APT攻击链进行识别，深度掌握攻击方的各种攻击链、攻击手法、攻击工具和策略等等，总结出攻击模型，便于开展有效的全面协同与主动防御。

此外，更要依托于高效、快速的行为检测和分析技术。在高级威胁判定完成后，需要进一步联动网关处的NDR(Network Detection & Response，网络检测与响应)及终端处的EDR(Endpoint Detection & Response，终端检测与响应)系统进行快速协同的联动处置。

通过对内网系统流量的动态监测，全系统日志的综合分析，联网设备的实时监控，以及不同品类安全产品运维数据的综合分析处理，真正意义上帮助用户拥有在数分钟内发现并追踪APT攻击源头能力，解决传统技术无法识别或是需要数日时间才能进行预警的被动局面。

可以预见，未来几年针对能源、交通、制造、金融、通信等领域的基础设施，以及特定高价值人群或个体为目标的APT攻击仍会持续增加。希望通过“快速判定+有效处置”这两招法宝，最终能够实现对APT攻击的成功抵御。