高級持續(xù)性威脅高級持續(xù)性威脅（Advanced Persistent Threat，APT），又稱高級長期威脅，是一種復(fù)雜的、持續(xù)的網(wǎng)絡(luò)攻擊，包含三個要素：高級、長期、威脅。高級是指執(zhí)行APT攻擊需要比傳統(tǒng)攻擊更高的定制程度和復(fù)雜程度；長期是過程中“放長線”，持續(xù)監(jiān)控目標(biāo)，對目標(biāo)保有長期的訪問權(quán)；威脅強(qiáng)調(diào)的是人為參與策劃的攻擊，攻擊目標(biāo)是高價值的組織，攻擊一旦得手，往往會給攻擊目標(biāo)造成巨大的經(jīng)濟(jì)損失或政治影響，乃至于毀滅性打擊。

高級持續(xù)性威脅（APT）的攻擊階段

APT攻擊者通常是一個組織，從瞄準(zhǔn)目標(biāo)到大功告成，要經(jīng)歷多個階段，在安全領(lǐng)域這個過程叫做攻擊鏈。

信息收集：攻擊者選定目標(biāo)后，首先要做的就是收集所有跟目標(biāo)有關(guān)的情報信息

外部滲透：確定滲透手段、制作特定的惡意軟件、將其投遞到目標(biāo)網(wǎng)絡(luò)內(nèi)

命令控制：當(dāng)目標(biāo)用戶使用含有漏洞的客戶端程序或瀏覽器打開帶有惡意代碼的文件時，就會被惡意代碼擊中漏洞，下載并安裝惡意軟件

內(nèi)部擴(kuò)散：攻陷一臺內(nèi)網(wǎng)主機(jī)后，惡意程序會橫向擴(kuò)散到子網(wǎng)內(nèi)其他主機(jī)或縱向擴(kuò)散到企業(yè)內(nèi)部服務(wù)器

數(shù)據(jù)泄露：聰明的黑客在攻擊的每一步過程中都通過匿名網(wǎng)絡(luò)、加密通信、清除痕跡等手段來自我保護(hù)，在機(jī)密信息外發(fā)的過程中，也會采用各種技術(shù)手段來避免被網(wǎng)絡(luò)安全設(shè)備發(fā)現(xiàn)

高級持續(xù)性威脅（APT）的典型案例

GoogleAurora極光攻擊

震網(wǎng)攻擊

SolarWinds供應(yīng)鏈?zhǔn)录?/p>

高級持續(xù)性威脅（APT）的特點

攻擊者組織嚴(yán)密：往往是一個組織發(fā)起的攻擊，可能具有軍事或政治目的

針對性強(qiáng)：攻擊者不會盲目攻擊，一般會很有針對性的選擇一個攻擊目標(biāo)

手段高超：APT攻擊的惡意代碼變種多且升級頻繁

隱蔽性強(qiáng)：APT攻擊者具有較強(qiáng)的隱蔽能力，不會像DDoS攻擊一樣構(gòu)造大量的報文去累垮目標(biāo)服務(wù)器

持續(xù)時間長：攻擊者一般都很有耐心，滲透過程和數(shù)據(jù)外泄階段往往會持續(xù)數(shù)月乃至數(shù)年的時間

如何應(yīng)對高級持續(xù)性威脅（APT）

高級威脅通常利用定制惡意軟件、0Day漏洞或高級逃逸技術(shù)，突破防火墻、IPS、AV等基于特征的傳統(tǒng)防御檢測設(shè)備，針對系統(tǒng)未及時修復(fù)的已知漏洞、未知漏洞進(jìn)行攻擊。華為APT防御與大數(shù)據(jù)安全解決方案采用大數(shù)據(jù)分析方法，采集全網(wǎng)信息，輔助多維風(fēng)險評估，準(zhǔn)確的識別和防御APT攻擊，有效避免APT攻擊造成用戶核心信息資產(chǎn)損失。該解決方案相關(guān)產(chǎn)品包括FireHunter6000沙箱和HiSec Insight安全態(tài)勢感知系統(tǒng)（原CIS）。

編輯：jq