【IT168 编译】对企业的管理者和CSO们而言,高级可持续性威胁(APT)是他们的噩梦。对于APT攻击,企业很难做到阻止,应对这种攻击通常需要明确的响应和恢复计划,这样做的目的是减少损害和损失。因为一旦发现APT活动,这通常意味着已经为时已晚。趋势科技安全研究副总裁Rik Ferguson补充谈到,当有针对性的攻击面对企业传统安全架构和管理模式时,事实确实是如此。
然而,安全专业人士知道当应对有针对性攻击时,需要使用不同的技术和战略,对于他们而言,这里还有战斗的机会。
对于很多企业领导而言,APT侧重于单个攻击,使用高级攻击方法,以获取敏感信息或核心数据。攻击者获取信息后,就可以出售或使用这些信息来获得某种类型的(经济、社会、军事等方面)好处。在这种事件背后的参与者可能是进行间谍活动的国家,或者在重大产品发布会或并购之前想要占上风的商业竞争对手。
需要注意的是,在这种情况下商业竞争对手或是国家并不会直接攻击你,这些攻击者会攻击第三方,并利用他们来发起攻击和管理攻击活动。这也是APT攻击很难阻止的原因,企业可以抓到进行直接攻击的黑客并阻止他们,但找到攻击根源完全是另一回事。
另外,一些普通的网络罪犯也在使用这些用来发动APT攻击的方法,所以在大多数情况下,称他们为高级攻击并不恰当。此外,经常被人们用来描述APT攻击的零日漏洞利用能力,也不应该作为APT的明显特征。各种网络罪犯都在利用零日漏洞,因为这种工具能够带领他们实现更高程度的成功。
有针对性APT攻击和普通网络攻击之间的区别在于目的或是整体目标,而不是他们使用的工具、战略或程序。安全供应商可能不会苟同,但当你看看那些APT攻击和导致敏感记录或企业机密丢失而没有归类为APT的事件,区别在哪里?
APT活动背后的攻击者并不会使用网络巫术来实现他们的目标。他们利用基本攻击方法(例如社会工程、恶意软件、软件漏洞、web漏洞和公开课用的工具)来完成其攻击。他们与一般攻击者的区别是,他们有资金支持,并且有明确的任务目标。他们会尽一切力量来实现其目标,无论花多长时间。问题是,当涉及到安全性和防御部署时,很多企业没有太过重视,使他们轻松被命中。
APT相关的活动并不是攻击,它们是有针对性的持续活动。这些活动背后的操作者会花费大量时间和经历并制定详细计划,让他们不仅能够访问企业网络和数据,还能够保持其访问权限达数年之久。
在2009年,Lockheed Martin公司发布了一份关于APT防御的白皮书,其中介绍了这些高级攻击活动的特征,以及如何利用现有基础设施来打击这些活动。这份白皮书中写道:“由于传统的基于漏洞的做法并不够好,我们需要了解这种威胁本身、它的意图、能力以及操作模式。”