APT 攻擊，即進階持續(xù)性滲透攻擊(Advanced Persistent Threat, APT)或目標(biāo)攻擊，被設(shè)計用來在目標(biāo)網(wǎng)絡(luò)里躲避現(xiàn)有的管理政策和解決方案，因此要偵測它們是一大挑戰(zhàn)。正如文章中所強調(diào)過的，沒有放諸四海皆準(zhǔn)的解決方案可以用來對付它；企業(yè)需在所需要的地方都放置傳感器好加以防護，同時IT 也要有足夠的設(shè)備來識別網(wǎng)絡(luò)的異常情況，并采取相應(yīng)的措施。

然而，要及早發(fā)現(xiàn)異常狀況，IT 管理者需要知道首先要看到什么。由于攻擊通常會設(shè)計成只有很少或幾乎沒有痕跡可循，重要的是要知道哪里可以找到入侵的可能指標(biāo)。在此，我們將列出IT 管理者所需要密切監(jiān)視的網(wǎng)絡(luò)部分以發(fā)覺任何入侵的跡象。

一、檢查被注入的DNS 記錄

攻擊者經(jīng)常會篡改DNS 記錄以確保到他們的幕后操縱（簡稱C&C）聯(lián)機不會被封鎖，IT 管理者可以檢查記錄中可能被攻擊者注入的跡象，如未知網(wǎng)域加入IP 地址、最近注冊的未知網(wǎng)域、看起來像是隨機字符的網(wǎng)域、以及出現(xiàn)模仿知名網(wǎng)域的域名。

二、稽查和審核登錄失敗或不規(guī)則的賬號

一旦攻擊者能夠進入網(wǎng)絡(luò)和建立與其C&C 的通訊，下一步通常是在網(wǎng)絡(luò)內(nèi)橫向移動。攻擊者會去找出ActiveDirectory、郵件或文件服務(wù)器，并攻擊服務(wù)器漏洞來加以存取。然而，因為管理者會修補并防護重要服務(wù)器的漏洞，攻擊者可能會嘗試暴力破解管理者賬號。對于IT 管理者來說，登錄記錄是這一行為最好的參考數(shù)據(jù)。檢查失敗的登錄嘗試，以及在不尋常時間內(nèi)的成功登錄，可以顯示攻擊者試圖在網(wǎng)絡(luò)內(nèi)移動。

三、研究安全解決方案的警報

有時候，安全解決方案會標(biāo)示看來無害的工具為可疑，而使用者會忽略這警報，因為該檔案可能對使用者來說很熟悉或無害。然而，我們在許多案例中發(fā)現(xiàn)出現(xiàn)警報意味著網(wǎng)絡(luò)中有攻擊者。攻擊者可能使用惡意設(shè)計的黑客工具，甚至是來自Sysinternals 套件的合法工具來執(zhí)行系統(tǒng)或網(wǎng)絡(luò)檢查作業(yè)。如果這些非惡意工具并非預(yù)安裝在用戶計算機里的話，有些安全解決方案會標(biāo)示出來。IT 管理者必須問，為什么使用者會使用這些工具，如果沒有充分的理由，IT 管理者可能撞見了攻擊者的橫向移動。

四、檢查是否有奇怪的大文件

在系統(tǒng)內(nèi)發(fā)現(xiàn)未知的大文件需要加以檢查，里面可能包含從網(wǎng)絡(luò)中竊取的數(shù)據(jù)。攻擊者通常在將文件取出前會先儲存在目標(biāo)系統(tǒng)內(nèi)，往往通過“看起來正常" 的文件名和文件類型來加以隱藏。IT 管理者可以通過文件管理程序來檢查。

五、稽查和審核網(wǎng)絡(luò)日志中的異常聯(lián)機

持續(xù)地稽查和審核網(wǎng)絡(luò)監(jiān)控日志非常重要，因為它可以幫助識別網(wǎng)絡(luò)中的異常聯(lián)機。想做到這一點，就需要IT 管理者對于其網(wǎng)絡(luò)和任何時間內(nèi)會發(fā)生的活動了如指掌。只有通過對網(wǎng)絡(luò)內(nèi)"正?！盃顩r的了解，才能夠識別出異常。例如，發(fā)生在應(yīng)該是空閑時間內(nèi)的網(wǎng)絡(luò)活動就可能是攻擊的跡象。

六、異常協(xié)定

和異常聯(lián)機有關(guān)，IT 管理者還需要檢查這些聯(lián)機所用的協(xié)議，特別是那些來自網(wǎng)絡(luò)內(nèi)部的聯(lián)機。攻擊者通常會選擇使用在網(wǎng)絡(luò)內(nèi)被允許的協(xié)議，所以檢查聯(lián)機很重要，即便它們使用的是一般的協(xié)議。

七、電子郵件活動增加

IT 管理者可以檢查郵件日志，看看是否有個別使用者出現(xiàn)奇怪的高峰期。電子郵件活動突然爆大量時就要檢查該使用者是否被卷入針對性釣魚攻擊。有時候，如果攻擊者研究發(fā)現(xiàn)一名員工將去參加某個重要會議，就會在會議前三個月就開始寄送釣魚郵件。這也是另一種線索。

想必IT 管理者會覺得有一大堆艱苦的事情等著去做，不 能否認，防范APT 針對性網(wǎng)絡(luò)攻擊 的確是項艱巨的任務(wù)。但為攻擊做好準(zhǔn)備的成本和解決一次攻擊的成本相比劃算得多，所以作為公司防御的第一線，IT 管理者做好萬全準(zhǔn)備是很重要的。

解決對策

傳統(tǒng)的防毒黑名單做法不再足以保護企業(yè)網(wǎng)絡(luò)對付針對性攻擊。為了減少此安全威脅所帶來的風(fēng)險，企業(yè)需要實現(xiàn)客制化防御，這是種采用進階威脅偵測技術(shù)和共享入侵指標(biāo)（IoC）情報的安全解決方案，用來偵測、分析和響應(yīng)標(biāo)準(zhǔn)安全產(chǎn)品所看不見的攻擊。