全方面解析高級(jí)持續(xù)性威脅

高級(jí)持續(xù)性威脅高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT），又稱高級(jí)長(zhǎng)期威脅，是一種復(fù)雜的、持續(xù)的網(wǎng)絡(luò)攻擊，包含三個(gè)要素：高級(jí)、長(zhǎng)期、威脅。高級(jí)是指執(zhí)行APT攻擊需要比傳統(tǒng)攻擊更高的定制程度和復(fù)雜程度；長(zhǎng)期是過程中“放長(zhǎng)線”，持續(xù)監(jiān)控目標(biāo)，對(duì)目標(biāo)保有長(zhǎng)期的訪問權(quán)；威脅強(qiáng)調(diào)的是人為參與策劃的攻擊，攻擊目標(biāo)是高價(jià)值的組織，攻擊一旦得手，往往會(huì)給攻擊目標(biāo)造成巨大的經(jīng)濟(jì)損失或政治影響，乃至于毀滅性打擊。

高級(jí)持續(xù)性威脅（APT）的攻擊階段

APT攻擊者通常是一個(gè)組織，從瞄準(zhǔn)目標(biāo)到大功告成，要經(jīng)歷多個(gè)階段，在安全領(lǐng)域這個(gè)過程叫做攻擊鏈。

信息收集：攻擊者選定目標(biāo)后，首先要做的就是收集所有跟目標(biāo)有關(guān)的情報(bào)信息

外部滲透：確定滲透手段、制作特定的惡意軟件、將其投遞到目標(biāo)網(wǎng)絡(luò)內(nèi)

命令控制：當(dāng)目標(biāo)用戶使用含有漏洞的客戶端程序或?yàn)g覽器打開帶有惡意代碼的文件時(shí)，就會(huì)被惡意代碼擊中漏洞，下載并安裝惡意軟件

內(nèi)部擴(kuò)散：攻陷一臺(tái)內(nèi)網(wǎng)主機(jī)后，惡意程序會(huì)橫向擴(kuò)散到子網(wǎng)內(nèi)其他主機(jī)或縱向擴(kuò)散到企業(yè)內(nèi)部服務(wù)器

數(shù)據(jù)泄露：聰明的黑客在攻擊的每一步過程中都通過匿名網(wǎng)絡(luò)、加密通信、清除痕跡等手段來自我保護(hù)，在機(jī)密信息外發(fā)的過程中，也會(huì)采用各種技術(shù)手段來避免被網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)

高級(jí)持續(xù)性威脅（APT）的典型案例

GoogleAurora極光攻擊

震網(wǎng)攻擊

SolarWinds供應(yīng)鏈?zhǔn)录?/p>

高級(jí)持續(xù)性威脅（APT）的特點(diǎn)

攻擊者組織嚴(yán)密：往往是一個(gè)組織發(fā)起的攻擊，可能具有軍事或政治目的

針對(duì)性強(qiáng)：攻擊者不會(huì)盲目攻擊，一般會(huì)很有針對(duì)性的選擇一個(gè)攻擊目標(biāo)

手段高超：APT攻擊的惡意代碼變種多且升級(jí)頻繁

隱蔽性強(qiáng)：APT攻擊者具有較強(qiáng)的隱蔽能力，不會(huì)像DDoS攻擊一樣構(gòu)造大量的報(bào)文去累垮目標(biāo)服務(wù)器

持續(xù)時(shí)間長(zhǎng)：攻擊者一般都很有耐心，滲透過程和數(shù)據(jù)外泄階段往往會(huì)持續(xù)數(shù)月乃至數(shù)年的時(shí)間

如何應(yīng)對(duì)高級(jí)持續(xù)性威脅（APT）

高級(jí)威脅通常利用定制惡意軟件、0Day漏洞或高級(jí)逃逸技術(shù)，突破防火墻、IPS、AV等基于特征的傳統(tǒng)防御檢測(cè)設(shè)備，針對(duì)系統(tǒng)未及時(shí)修復(fù)的已知漏洞、未知漏洞進(jìn)行攻擊。華為APT防御與大數(shù)據(jù)安全解決方案采用大數(shù)據(jù)分析方法，采集全網(wǎng)信息，輔助多維風(fēng)險(xiǎn)評(píng)估，準(zhǔn)確的識(shí)別和防御APT攻擊，有效避免APT攻擊造成用戶核心信息資產(chǎn)損失。該解決方案相關(guān)產(chǎn)品包括FireHunter6000沙箱和HiSec Insight安全態(tài)勢(shì)感知系統(tǒng)（原CIS）。

編輯：jq