APT（Advanced Persistent Threat）高級(jí)持續(xù)性威脅顧名思義，這種攻擊行為首先具有極強(qiáng)的隱蔽能力，通常是利用企業(yè)或機(jī)構(gòu)網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞來(lái)形成攻擊者所需C&C網(wǎng)絡(luò)；其次APT攻擊具有很強(qiáng)的針對(duì)性，攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息，情報(bào)收集的過(guò)程更是社工藝術(shù)的完美展現(xiàn)；當(dāng)然針對(duì)被攻擊環(huán)境的各類0day收集更是必不可少的環(huán)節(jié)。

在已經(jīng)發(fā)生的典型的APT攻擊中，攻擊者經(jīng)常會(huì)針對(duì)性的進(jìn)行為期幾個(gè)月甚至更長(zhǎng)時(shí)間的潛心準(zhǔn)備，熟悉用戶網(wǎng)絡(luò)環(huán)境，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全隱患，定位關(guān)鍵信息的存儲(chǔ)位置與通信方式，整個(gè)驚心動(dòng)魄的過(guò)程絕不遜于好萊塢巨制《偷天換日》。當(dāng)一切的準(zhǔn)備就緒，攻擊者所鎖定的重要信息便會(huì)從這條秘密通道悄無(wú)聲息的轉(zhuǎn)移。例如，在某臺(tái)服務(wù)器端成功部署Rootkit后，攻擊者便會(huì)通過(guò)精心構(gòu)造的C&C網(wǎng)絡(luò)定期回送目標(biāo)文件進(jìn)行審查。

也許很多IT管理者認(rèn)為APT攻擊這種長(zhǎng)期而復(fù)雜的攻擊方式不可能幸運(yùn)的發(fā)生在您所負(fù)責(zé)網(wǎng)絡(luò)中，但在西方先進(jìn)國(guó)家APT攻擊已經(jīng)成為國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。例如，美國(guó)國(guó)防部的High Level網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對(duì)APT攻擊行為的檢測(cè)與防御是整個(gè)風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是最基礎(chǔ)的組成部分。

對(duì)于APT攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰(zhàn)策略，法國(guó)人的整條防線便淪落成擺設(shè)，至于APT攻擊，任何疏忽大意都可能為信息系統(tǒng)帶來(lái)災(zāi)難性的破壞。相信您迫切想了解傳統(tǒng)的網(wǎng)絡(luò)犯罪集團(tuán)與APT攻擊行為到底有哪些異同，下面的表格或許能讓您找到答案。

不難看出APT攻擊更像一支配備了精良武器的特種部隊(duì)，這些尖端武器會(huì)讓用戶網(wǎng)絡(luò)環(huán)境中傳統(tǒng)的IPS/IDS、防火墻等安全網(wǎng)關(guān)失去應(yīng)有的防御能力。無(wú)論是0day或者精心構(gòu)造的惡意程序，傳統(tǒng)的機(jī)遇特征庫(kù)的被動(dòng)防御體系都無(wú)法抵御定向攻擊的入侵。即便是業(yè)界熱議的NGFW，利用CA證書(shū)自身的缺陷也可讓受信的應(yīng)用成為網(wǎng)絡(luò)入侵的短板。

典型的APT攻擊，通常會(huì)通過(guò)如下途徑入侵到您的網(wǎng)絡(luò)當(dāng)中：

1. 通過(guò)SQL注入等攻擊手段突破面向外網(wǎng)的Web Server；
2. 通過(guò)被入侵的Web Server做跳板，對(duì)內(nèi)網(wǎng)的其他服務(wù)器或桌面終端進(jìn)行掃描，并為進(jìn)一步入侵做準(zhǔn)備；
3. 通過(guò)密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳號(hào)，并最終突破AD服務(wù)器或核心開(kāi)發(fā)環(huán)境；
4. 被攻擊者的私人郵箱自動(dòng)發(fā)送郵件副本給攻擊者；
5. 通過(guò)植入惡意軟件，如木馬、后門、Downloader等惡意軟件，回傳大量的敏感文件（WORD、PPT、PDF、CAD文件等）；
6. 通過(guò)高層主管郵件，發(fā)送帶有惡意程序的附件，誘騙員工點(diǎn)擊并入侵內(nèi)網(wǎng)終端。