□ 文 鄧毅琳

當(dāng)今社會(huì)，互聯(lián)網(wǎng)的快速發(fā)展，為人們的生活帶來了諸多的便利，網(wǎng)絡(luò)在不知不覺中進(jìn)入了每個(gè)人的生活中，人們可利用互聯(lián)網(wǎng)進(jìn)行購物、交流、娛樂等。但隨之而來的網(wǎng)絡(luò)安全問題對于所有網(wǎng)絡(luò)而言都是一個(gè)極大的威脅，而在這之中國家間的網(wǎng)絡(luò)信息安全更是成為網(wǎng)絡(luò)安全的重中之重?，F(xiàn)在，國家間的網(wǎng)絡(luò)攻擊形式主要為高級(jí)持續(xù)性威脅，我們大多統(tǒng)稱為APT（Advanced Persistent Threat）。

1.APT的概念以及特點(diǎn)

1.1 APT的概念

APT這個(gè)詞匯最早起源于2005年，2005年英國和美國的CERT組織發(fā)布了關(guān)于有針對性的社交工程電子郵件，放棄特洛伊木馬以泄露敏感信息的第一個(gè)警告，盡管沒有使用“APT”這個(gè)名字。但“先進(jìn)的持續(xù)威脅”一詞被廣泛引用，2006年的美國空軍Greg Rattray上校經(jīng)常被引用為創(chuàng)造該術(shù)語的個(gè)人。

在計(jì)算機(jī)安全領(lǐng)域以及越來越多的媒體中，APT這個(gè)術(shù)語幾乎總是用來指向針對政府，公司和政治活動(dòng)家的黑客攻擊的高級(jí)持續(xù)模式，而且也延伸到涉及到群體這些攻擊背后。作為一個(gè)術(shù)語，高級(jí)持續(xù)威脅（APT）可以被轉(zhuǎn)移焦點(diǎn)到攻擊出現(xiàn)次數(shù)。PC World報(bào)告稱，從2016年到2017年，特別針對高級(jí)別目標(biāo)的網(wǎng)絡(luò)攻擊增加了81%。

1.2 APT的特點(diǎn)

APT攻擊主要存在以下幾個(gè)特點(diǎn)，潛伏性，持續(xù)性，特定性。

圖1 APT攻擊的各個(gè)階段

1.2.1 潛伏性

APT作為針對政府以及國家的高級(jí)持續(xù)性攻擊，APT會(huì)在用戶環(huán)境中存在一年以上或更久，在這一年的時(shí)間中，攻擊者會(huì)通過各種手段收集被攻擊者的信息，或者控制攻擊者主機(jī)，同時(shí)攻擊者會(huì)使用被攻擊者的跳板去攻擊處于同一內(nèi)網(wǎng)的其他主機(jī)，已達(dá)到入侵的目的。

1.2.2 持續(xù)性

由于APT攻擊具有持續(xù)性甚至長達(dá)數(shù)年的特征。在此期間，這種“持續(xù)性”體現(xiàn)在攻擊者不斷嘗試的各種攻擊手段，以及滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏。

1.2.3 特定性

由于APT主要針對特定政府，攻擊者會(huì)通過對某一個(gè)人進(jìn)行有針對性的調(diào)查，我們一般將其稱為社會(huì)工程學(xué)。通過對指定目標(biāo)進(jìn)行社會(huì)工程學(xué)，攻擊者使用更有針對性的方式進(jìn)行攻擊，如：偽造銀行對被攻擊者投遞郵件，以此達(dá)到他們的惡意目的。

2.APT攻擊的主要方式

ATP的主要攻擊方式分為三個(gè)階段如下圖1所示，我們在這里將其稱為第一階段、第二階段以及第三階段。

在APT攻擊的第一階段中，攻擊者主要在對受害人進(jìn)行社會(huì)工程學(xué)，通過互聯(lián)網(wǎng)上發(fā)布的各種信息，以及關(guān)注受害人的微博等方式，對受害人的心理，作息以及日常活動(dòng)進(jìn)行全方位的了解，以便進(jìn)行下一步攻擊。

在APT攻擊的第二階段中，攻擊者在基于前文所述的社會(huì)工程學(xué)的基礎(chǔ)上對被害人進(jìn)行攻擊。攻擊方式主要是魚叉式攻擊郵件。攻擊者通過偽造政府，常用網(wǎng)站，對被害人進(jìn)行魚叉式攻擊郵件的投遞。其中郵件中可能包含有云鏈接、惡意鏈接、惡意附件等內(nèi)容，一旦受害人點(diǎn)擊下載鏈接或者附件，就會(huì)掉入到攻擊者所設(shè)的陷阱當(dāng)中，被攻擊者攻擊成功。

在第三階段中，攻擊者會(huì)隱藏在受害人的主機(jī)中，并且會(huì)通過受害人的主機(jī)對同內(nèi)網(wǎng)的主機(jī)進(jìn)行攻擊，以便竊取到更多的信息。

3.APT攻擊的防御方式

近些年來由于APT的高針對性，我們對其進(jìn)行有效的防護(hù)，現(xiàn)有的防御方法基本如下

3.1 入侵檢測技術(shù)

我們可以通過入侵檢測技術(shù)來進(jìn)行對APT的有效防御。入侵檢測系統(tǒng)能夠?yàn)樵谝欢ò踩S護(hù)策略條件之下運(yùn)行的監(jiān)聽設(shè)備監(jiān)測計(jì)算機(jī)通信網(wǎng)絡(luò)的運(yùn)行以及傳輸狀態(tài)，并有效預(yù)警安全威脅。入侵檢測系統(tǒng)和防火墻技術(shù)的不同之處在于，入侵檢測系統(tǒng)等同于大樓監(jiān)測系統(tǒng)，防火墻則等同于大門防盜鎖。入侵檢測系統(tǒng)通過對網(wǎng)絡(luò)運(yùn)行情況的合理檢測及時(shí)查找安全隱患問題，旨在充分確保計(jì)算機(jī)網(wǎng)絡(luò)安全性，此系統(tǒng)重點(diǎn)關(guān)注流量必經(jīng)之地。由此可見，充分結(jié)合入侵檢測系統(tǒng)實(shí)際環(huán)境，根據(jù)其工作目標(biāo)及具體使用手段，在這里我們通常將入侵檢測系統(tǒng)部署在郵件服務(wù)器外部，通過對郵件進(jìn)行有效的過濾來保護(hù)我們的內(nèi)網(wǎng)。同時(shí)我們可以在我們的內(nèi)網(wǎng)部署監(jiān)聽設(shè)施，對內(nèi)網(wǎng)中的每個(gè)計(jì)算機(jī)進(jìn)行監(jiān)聽，對他們的日常行為進(jìn)行建模以及數(shù)據(jù)挖掘，以防止APT攻擊中第三階段的攻擊。

3.2 積極宣傳網(wǎng)絡(luò)安全教育

隨著計(jì)算機(jī)的逐漸普及，人們需要從根本上認(rèn)識(shí)到網(wǎng)絡(luò)安全的重要性，并積極開展各項(xiàng)通信網(wǎng)絡(luò)安全教育工作，加強(qiáng)計(jì)算機(jī)通信網(wǎng)絡(luò)技術(shù)領(lǐng)域的交流，在掌握計(jì)算機(jī)通信網(wǎng)絡(luò)安全技術(shù)的同時(shí)，要從根本上保證計(jì)算機(jī)通信網(wǎng)絡(luò)安全在高層次上的主動(dòng)性。另外，計(jì)算機(jī)管理人員作為計(jì)算機(jī)網(wǎng)絡(luò)通信安全管理的主要因素，要具備一定的安全意識(shí)，采取相應(yīng)的網(wǎng)絡(luò)手段，避免出現(xiàn)信息丟失與盜取現(xiàn)象。

總之，隨著時(shí)代的發(fā)展，互聯(lián)網(wǎng)已經(jīng)在世界之中起到了舉足輕重的作用。而國家之間的網(wǎng)絡(luò)安全在這個(gè)信息化的時(shí)代中格外重要，因此我們必須高度關(guān)注國家間的網(wǎng)絡(luò)安全。否則將會(huì)帶來難以彌補(bǔ)的損失。為此，我們必須努力強(qiáng)化專業(yè)計(jì)算機(jī)人員素養(yǎng)水平，構(gòu)建完善管理機(jī)制，選用有效措施進(jìn)行安全維護(hù)，從根本角度出發(fā)，保證國家間網(wǎng)絡(luò)的安全以及穩(wěn)定。■