信息來源：比特網(wǎng)

      美國聯(lián)邦調(diào)查局某高官曾經(jīng)說過: “世界上只有兩種大型企業(yè)，一種是知道已經(jīng)被黑客入侵的企業(yè)，另一種則是被入侵卻渾然不知的企業(yè)。”

      有人感覺，“高官”的言論未免太過極端，但不可爭議的是，近幾年APT攻擊愈演愈烈。數(shù)據(jù)統(tǒng)計，僅2014年全球就有超過80000家公司遭遇網(wǎng)絡攻擊，其中只有2122家公司被迫公開承認，全球500強公司大面積淪陷，攻擊范圍涉及全球60多個國家和地區(qū)，由此可見，該高官的表述并不過分。

      面對狡猾且技藝高超的黑客，由防火墻、入侵檢測、防病毒系統(tǒng)組成“三大件”似乎失去了作用。以APT攻擊為代表的高級新型攻擊，正在毫無顧忌的沖破企業(yè)安全防線，他們悄悄潛伏，伺機竊取機密數(shù)據(jù)丟失或是破壞生產(chǎn)系統(tǒng)。那么，APT攻擊為何難以發(fā)現(xiàn)？企業(yè)用戶只能束手待斃嗎？

APT 攻擊平均“ 559”天才被發(fā)現(xiàn)

      亞信安全對大量 APT攻擊案件進行了系統(tǒng)調(diào)查，統(tǒng)計結果出乎意料，企業(yè)用戶平均經(jīng)過 559天才會發(fā)覺自己正在遭遇攻擊。此外，亞信安全還發(fā)現(xiàn)，APT攻擊導致的核心數(shù)據(jù)泄密會對大型企業(yè)造成極為負面的影響，這不僅會造成知識產(chǎn)權的流失，這將在技術、業(yè)務、市場、客戶等方面發(fā)生連鎖反應。對于上市企業(yè)，APT事件一旦被公布，必然會直接影響企業(yè)股價，導致企業(yè)資產(chǎn)瞬間縮水。

      一般來說，傳統(tǒng)的木馬病毒攻擊采用的是 “廣撒網(wǎng)”的方式，他們更加在意這張“網(wǎng)”的范圍有多大，而很少在意哪些具體的魚會被捕上來。與傳統(tǒng)的網(wǎng)絡威脅不同，APT攻擊十分狡猾，徹底顛覆了我們對木馬病毒、黑客攻擊的認識。

針對APT攻擊的特點，亞信安全產(chǎn)品總監(jiān)、APT治理專家白日表示：“黑客從一開始就選定了明確的攻擊對象和攻擊目標，并為此進行長期的人力和物力的投入。攻擊者追求的是攻擊成功率，而不是攻擊范圍的擴大。一旦確定目標，‘專注’的黑客會采用一些極為個性化、針對強的攻擊手法。這些攻擊手法，以及他們所采用的攻擊代碼，有時只會使用一次，但這種攻擊卻是持續(xù)而影響深遠的?！?

如何抓住狐貍的尾巴？

      黑客發(fā)動APT攻擊，往往會精心選擇隱匿行蹤的技巧，通過有組織的行動將攻擊分散開來，以躲避查殺。此外，黑客一旦進入到企業(yè)內(nèi)部網(wǎng)絡，多數(shù)會采用深度潛伏的方式。這些特點，讓我們很難發(fā)現(xiàn)遭遇APT攻擊，但狡猾的狐貍終究會露出尾巴。

要抓狐貍，就要了解它的習性。APT攻擊共有6個階段，這包括：情報收集、單點突破、命令與控制(C&C通信)、橫向移動、資產(chǎn)/資料發(fā)掘、資料竊取。在一些受雇傭的黑客隊伍中，常常分工明確，不同階段甚至會有不同的黑客負責完成。這雖然增加了企業(yè)防御APT攻擊的難度，但如果熟悉每個階段的攻擊特征，就可以做到有的放矢。例如：亞信安全發(fā)現(xiàn)，在APT“單點突破”階段，有91%的目標攻擊是利用電子郵件作為切入點。此外，有78%的針對性電子郵件會內(nèi)含附件引誘用戶點擊。

      針對APT的有效治理，白日表示：“發(fā)現(xiàn)APT攻擊者在企業(yè)內(nèi)部的藏身之處有一定的難度，但不是說企業(yè)就束手無策。企業(yè)用戶要實現(xiàn)APT攻擊的有效治理，最佳方案就是根據(jù)這6個階段建立一一對應的抑制點。不僅需要在‘單點突破’這個階段利用沙箱技術發(fā)現(xiàn)惡意代碼，發(fā)現(xiàn)‘橫向移動’階段中的黑客掃描流量也很重要?！?

      沿用傳統(tǒng)設備的“單兵作戰(zhàn)”勢必無法與黑客團體抗衡。為此，亞信安全推出了以監(jiān)控為中心，以偵測、分析、響應、阻止為治理過程，以“深度威脅發(fā)現(xiàn)平臺”為核心的完整而有效的APT治理整體解決方案。亞信安全深度威脅發(fā)現(xiàn)平臺Deep Discovery包括：深度威脅發(fā)現(xiàn)設備TDA、深度威脅分析設備DDAN、深度威脅安全網(wǎng)關Deep Edge、深度威脅郵件網(wǎng)關DDEI、服務器深度安全防護系統(tǒng) Deep Security，以及能夠實現(xiàn)本地和云端威脅情報共享的統(tǒng)一聯(lián)動控制管理中心TMCM和高級威脅調(diào)查取證服務DI。

APT攻擊“簡化版”—— 勒索軟件

      如今，很多政府機構和全球化企業(yè)在安全控管上都投入了巨大的人力和物力，但是APT攻擊仍然滲透進這些組織，并且，許多黑客團體將這種進攻方案變得更加“簡單粗暴”。

      對于APT攻擊的發(fā)展，白日認為：“一種非常簡易的APT攻擊已經(jīng)開始大規(guī)模泛濫，這就是加密勒索軟件。它具備APT攻擊第2個階段的典型特征，即利用社交工程郵件突破企業(yè)邊界防護，進而控制企業(yè)的終端和服務器，最終獲取并加密核心數(shù)據(jù)，恐嚇勒索用戶。所以說，表面看起來只是企業(yè)員工感染了勒索軟件，但其實還是籠罩在APT攻擊之下。因此，亞信安全的APT治理戰(zhàn)略同樣也適用于勒索軟件攻擊。”