每當(dāng)人們想到高級(jí)持續(xù)性威脅（Advanced Persistent Threat，以下簡(jiǎn)稱(chēng)APT攻擊）和針對(duì)性攻擊/鎖定目標(biāo)攻擊(Targeted attack)，都不禁要問(wèn)：這是誰(shuí)干的？他們想要什么？雖然這些問(wèn)題都很有意思，亞信安全認(rèn)為更重要的是要問(wèn)：關(guān)于攻擊者的哪些信息可以更好的幫助企業(yè)保護(hù)自己？

了解你要面對(duì)什么樣的攻擊

這不是說(shuō)你該完全忽略誰(shuí)在攻擊你，而是應(yīng)該更關(guān)注他們會(huì)做什么。如果有人用腳本小子(Script Kiddie)取得的工具來(lái)攻擊你，這可能并非嚴(yán)重的威脅。如果有人用新的漏洞和精心設(shè)計(jì)的惡意軟件來(lái)攻擊你，那就要注意了。

他們的能力可能也反映了他們的意圖。例如，故意破壞（如篡改網(wǎng)站）比較可能是激進(jìn)黑客主義（Hacktivism）的目標(biāo)，而非國(guó)家級(jí)攻擊活動(dòng)。了解你面對(duì)什么樣的對(duì)手可以讓你了解他們的動(dòng)機(jī)。但大多數(shù)攻擊的目標(biāo)是竊取信息，有時(shí)可能是可以馬上換錢(qián)的金融信息，如支付信息。有時(shí)可能是更加敏感的信息，如公司機(jī)密。

并非每次入侵都會(huì)造成嚴(yán)重的信息外泄事件來(lái)占據(jù)各大科技新聞網(wǎng)站的頭條。它可能是細(xì)水長(zhǎng)流型：可能會(huì)放置后門(mén)程序在你網(wǎng)絡(luò)內(nèi)部長(zhǎng)達(dá)數(shù)個(gè)月，慢慢地在沒(méi)人注意的情況下流出信息，這是許多攻擊者想要的結(jié)果，即來(lái)自目標(biāo)源源不絕的信息。而網(wǎng)絡(luò)存取能力本身也可能成為一種商品，想象一下出現(xiàn)在網(wǎng)絡(luò)犯罪地下市場(chǎng)的一則廣告，“一萬(wàn)美元就可以讓你進(jìn)入A公司的網(wǎng)絡(luò)”。

防御不良意圖

那么，你該如何防護(hù)這一切？針對(duì)入侵外泄的偵測(cè)是目前最重要的。了解你的網(wǎng)絡(luò)中什么是正常而什么是不正常，讓你可以快速找到不正常的地方，也就有是說(shuō)可能是惡意的活動(dòng)。你不能再假設(shè)外圍防御能夠阻止一切到達(dá)你組織的攻擊；相反地，你必須假設(shè)某種入侵事件最終將會(huì)發(fā)生，盡可能的去準(zhǔn)備好偵測(cè)這樣的入侵外泄行為。

想要做到這一點(diǎn)，就必須準(zhǔn)備好事件回應(yīng)計(jì)劃。特別是針對(duì)嚴(yán)重而大規(guī)模的入侵外泄行為，重要的是要知道該怎么辦，獲取必要的工具，有合適的人員并提供相應(yīng)的訓(xùn)練。這樣，當(dāng)重大事件發(fā)生時(shí)，人們可以根據(jù)經(jīng)過(guò)深思熟慮過(guò)的計(jì)劃來(lái)作出回應(yīng)，而非匆忙而慌張地反應(yīng)。

簡(jiǎn)言之：歸因很有趣，但從防御的角度來(lái)看，動(dòng)機(jī)更加重要。這決定了攻擊者一旦進(jìn)入你的網(wǎng)絡(luò)內(nèi)部后會(huì)做什么，這也相對(duì)地影響了你該如何建立自己的防御能力。因此，組織最好的防御思路莫過(guò)于確認(rèn)攻擊者的動(dòng)機(jī)，然后根據(jù)此動(dòng)機(jī)判斷入侵最有可能發(fā)生的節(jié)點(diǎn)以及方式，并擬定針對(duì)性的入侵防御方案，對(duì)目標(biāo)進(jìn)行重點(diǎn)防御。

建立APT防御機(jī)制的前提是你的組織有監(jiān)控威脅的充足能力，以發(fā)現(xiàn)入侵攻擊的發(fā)生及演變過(guò)程。缺乏這一能力的組織可以通過(guò)部署亞信安全深度威脅發(fā)現(xiàn)平臺(tái)(Deep Discovery)，通過(guò)智能的安全管控確認(rèn)威脅是否發(fā)生、判斷攻擊的本質(zhì)、評(píng)估威脅的影響和范圍，進(jìn)而構(gòu)建安全聯(lián)動(dòng)的防護(hù)體系。