宋辰

APT攻擊已經(jīng)成為取代傳統(tǒng)黑客攻擊的一種非常重要的手段，更是改變了原有的攻防理念。

不可否認(rèn)，機(jī)構(gòu)或組織越來(lái)越多的重要數(shù)據(jù)早已被存儲(chǔ)在自己的IT系統(tǒng)內(nèi)，隨著數(shù)據(jù)的“含金量”增高，黑客攻擊的方式也從十幾年前的“唯恐天下不亂”式大規(guī)模爆發(fā)，演變成了以核心技術(shù)資產(chǎn)為目的的盜取。

APT攻擊就是近些年出現(xiàn)的一種高級(jí)持續(xù)性威脅。 APT攻擊的原理相對(duì)于其他攻擊形式更為高級(jí)和先進(jìn)，APT在發(fā)動(dòng)攻擊之前會(huì)對(duì)攻擊對(duì)象的業(yè)務(wù)流程和目標(biāo)系統(tǒng)進(jìn)行精確的收集。在收集的過(guò)程中，攻擊會(huì)主動(dòng)挖掘被攻擊對(duì)象受信系統(tǒng)和應(yīng)用程序的漏洞，利用先進(jìn)的攻擊手段對(duì)特定目標(biāo)進(jìn)行長(zhǎng)期持續(xù)性的網(wǎng)絡(luò)攻擊。

亞信安全發(fā)布的一份調(diào)查報(bào)告顯示，在2015年9月到2016年6月期間，勒索軟件出現(xiàn)了爆發(fā)式增長(zhǎng)，亞信安全在全球范圍內(nèi)監(jiān)測(cè)到的勒索軟件數(shù)量從不足100萬(wàn)增長(zhǎng)到如今的1500萬(wàn)。在中國(guó)傳播的勒索軟件已經(jīng)從過(guò)去的可以忽略不計(jì)，增長(zhǎng)到如今的數(shù)以萬(wàn)記，通過(guò)網(wǎng)頁(yè)鏈接（URL）檢測(cè)的勒索軟件數(shù)量從283個(gè)增長(zhǎng)到18990個(gè)，增長(zhǎng)超過(guò)67倍，中國(guó)成為勒索軟件感染最嚴(yán)重的10大國(guó)家之一。

“這兩年，加密勒索軟件是APT攻擊經(jīng)常呈現(xiàn)的攻擊方式，攻擊頻率和影響都呈上升趨勢(shì)。”亞信安全APT治理戰(zhàn)略及網(wǎng)關(guān)產(chǎn)品線(xiàn)總監(jiān)白日說(shuō)，“原來(lái)的APT攻擊主要是針對(duì)核心資產(chǎn)比較多的大型企業(yè)，但勒索軟件出來(lái)后，大量的中小企業(yè)也成為了受害者。APT攻擊已經(jīng)逐漸成為企業(yè)頭號(hào)網(wǎng)絡(luò)安全殺手?！?/p>

現(xiàn)在黑客團(tuán)體常常分工明確，每一階段由一組專(zhuān)門(mén)的黑客負(fù)責(zé)?！癆PT攻擊共有情報(bào)收集、單點(diǎn)突破、命令與控制（C&C 通信）、橫向移動(dòng)、資產(chǎn)/資料發(fā)掘、資料竊取六個(gè)階段?！眮喰虐踩a(chǎn)品管理部總監(jiān)徐江明解釋道，“不僅是在‘單點(diǎn)突破這個(gè)階段存在惡意代碼，第四階段的‘橫向移動(dòng)對(duì)于黑客最后資料竊取階段的布局也至關(guān)重要。不斷地在不同終端之間移動(dòng)，可以讓黑客完整掃描整個(gè)網(wǎng)絡(luò)，并且找到最珍貴的數(shù)據(jù)。”

企業(yè)如何才能將APT攻擊的影響降到最小呢？

“第一要?jiǎng)?wù)是提高員工意識(shí)，這樣至少可以防范60%的企業(yè)網(wǎng)絡(luò)安全問(wèn)題。剩下的就要交給技術(shù)和產(chǎn)品解決方案來(lái)進(jìn)行主動(dòng)防御，這樣即使未來(lái)遭遇APT攻擊，也可以解決80%～90%的攻擊?！卑兹照f(shuō)，“黑客入侵已經(jīng)是無(wú)可避免的事，因此，盡可能降低黑客潛伏的時(shí)間，并且妥善保護(hù)核心的數(shù)字資產(chǎn)才是最重要的?！?/p>

白日認(rèn)為，傳統(tǒng)的深度防御仍然重要，但是對(duì)于高級(jí)指向性攻擊和高級(jí)惡意程序的防護(hù)已經(jīng)不再有效。當(dāng)今的高級(jí)威脅需要新的層次化防御模型，使用“主動(dòng)參與技術(shù)”在網(wǎng)絡(luò)、負(fù)載和終端三個(gè)層面進(jìn)行防御，綜合使用兩個(gè)或者三個(gè)層次的解決方案可以提供更為有效的高級(jí)威脅防御能力。

在亞信安全致力推廣的“立體、可視、智能”安全架構(gòu)中，既通過(guò)云安全和大數(shù)據(jù)分析技術(shù)提高了傳統(tǒng)網(wǎng)關(guān)、網(wǎng)絡(luò)、端點(diǎn)等縱向攔截面的威脅識(shí)別能力，還加入了云數(shù)據(jù)中心、虛擬化主機(jī)和應(yīng)用層的威脅深度偵測(cè)技術(shù)?？梢詮亩鄠€(gè)層面確保業(yè)務(wù)安全、數(shù)據(jù)安全，進(jìn)而幫助用戶(hù)識(shí)別、分析、攔截每一個(gè)非法的業(yè)務(wù)信息流或是端點(diǎn)的可疑行為。

APT攻擊因?yàn)殡[蔽性強(qiáng)、潛伏期長(zhǎng)，所以造成的調(diào)查取證難度也比較高。為此，亞信安全最新發(fā)布了CTIC平臺(tái)（高級(jí)威脅調(diào)查取證中心），不同于傳統(tǒng)SIEM（安全信息與事件管理）針對(duì)所有IT資源或所有安全產(chǎn)品產(chǎn)生的日志進(jìn)行分析，CTIC是專(zhuān)門(mén)針對(duì)高級(jí)威脅的專(zhuān)有日志進(jìn)行分析，日志收集專(zhuān)而精，日志分析、規(guī)則編寫(xiě)更精準(zhǔn)。