【IT168专稿】在如今的互联网时代，来自已知、未知威胁或是高级持续性威胁(APT)都呈增长之势，数字化威胁在不断进化中。要能掌控终端设备、服务器及数据中心的进化就能掌握数字威胁的进化，了解数字威胁对企业造成的风险。因此，企业必须规划未知威胁、定向威胁与APT的防护。

　　APT攻击在近年来非常活跃，并频繁发生黑客利用复杂精准的方式对特定对象发动高级持续性威胁的事件。“APT应该被视为一连串的攻击活动，而非单一事件。同时，APT会利用各种方法不停的尝试，直到达到目的为止。” 趋势科技中国区产品经理蒋世琪在接受我们的采访时这样谈到。

▲趋势科技中国区产品经理蒋世琪

　　在这些事件中，APT攻击主要呈现出以下五种特征：APT攻击目标和范围不断扩展、APT攻击隐蔽性日渐提升、新社交工程陷阱出现、“贩卖漏洞攻击码及搭配的恶意软件”交易走向“前台”、以破坏信息为目的的攻击增多。

　　根据威胁类型，我们可将威胁归为已知威胁和未知威胁。传统的威胁和不断涌现的高级持续性威胁、定向威胁都应是客户提高重视并加强防范的。“未知威胁”需要进行实时监控和行为分析以进行检测。企业必须采用一套新的方法来侦测并分析APT，并且快速调整其安全管理策略来对付攻击者。

　　APT攻击特性解析

　　APT攻击会不断渗透并躲过传统的信息安全机制，包括：防病毒、防火墙以及IPS/IDS，去年韩国各大银行及媒体所遭受的攻击正是如此。此类攻击通常是由鱼叉式钓鱼邮件开始，黑客利用社交工程学，诱使收件者点击打开带有漏洞攻击代码的附件，在成功感染之后，黑客透过幕后操纵通讯服务器(Command-and-control server)从远程对已渗透的计算机下达指令。

　　蒋世琪介绍到，趋势科技 TrendLabs研究人员在追踪这类幕后操纵通信时发现了 1500 多个有效的幕后操纵通信服务器，每一网站所操纵的受害者从1到25,000个不等。根据趋势科技《APT白皮书》调查结果显示：“超过80%的受害组织，并不知道自身已遭受到APT攻击;在这些企业用户中，平均要经过346天才会发现自己遭受到APT攻击，当中有77%的组织在发现受到攻击时，已经被黑客取得完全的掌控，但只有50%的受害计算机内会被找出恶意软件。”这也显示出，组织内的IT团队所面临的挑战，不只是发现问题，而是必须找出保护网络，对抗APT的解决之道。

　　蒋世琪谈到，不管企业的防御措施有多么完善，只要一个设定错误或某个用户打开恶意文件或访问恶意网站，就可能会让公司受到影响。因此，企业所要做的不仅是在攻击发生后迅速的采取修补措施，还应该及时的对整个IT架构的数据动态进行检测，一旦攻击者进入公司网络，受攻击的目标必须要能尽快的加以侦测和控制。在这时间点，可以进行完整的调查来看看攻击者去过哪些地方和造成哪些损害。

　　企业如何有效防范APT攻击?

　　对APT威胁进行侦测和控制的过程可能非常耗时，对此蒋世琪建议到，企业可以先专注两个方面来将损害降到最低程度，同时也让事件调查可以尽可能的快速和成功：一是企业要执行适当的记录政策，将网络分割，并通过威胁发现设备来加强安全威胁检测和对关键资料的保护;二是企业要有已经受过训练和运作正常的威胁情报小组和事件调查小组。

　　此外，为了实现动态的安全状态评估，渗透测试对企业来说也会很有帮助，从测试结果里可以了解很多安全隐患。如果可以的话，也要进行社交工程和实体安全测试。一旦完成，渗透测试可以用来作为事件调查小组的训练工具，并将所发现的信息提供给决策者，这将有助于企业了解整体的安全性问题，将这种致命威胁消灭在萌芽状态。

　　蒋世琪谈到，“安全是一项投资，但由于APT攻击可能对企业造成的巨大损害，这种投资是值得的。企业需要随时关注APT攻击的防御措施，并且了解更多关于如何尽量减少成为APT攻击受害者风险的详细信息，以保证企业的安全性。”

　　APT防护选型应注意什么?

　　在当前不断演变的威胁形势中，企业需强化自身的业务连续能力，才能在数字时代拥有最大的成长契机。当前的问题已不再是企业会不会发生安全事件，而是何时将会发生，因为网络犯罪者的手段越来越高明，越来越难缠、越来越隐匿。歹徒现在非常擅长针对企业机构当中的特定人员、系统及漏洞来发展出定制化的攻击。

　　对抗APT攻击活动没有万灵丹，除了平时提高人员安全意识与建立事件响应机制以外，国外著名研究分析机构Gartner提出了多层次防御的概念，不论在终端、边界及网络，都需要具备相对应的防护 。其中，具备行为检测、启发、异常检测、虚拟执行环境等功能的“进阶威胁检测系统”能够提供网络内的威胁可见性，在第一时间发现攻击迹象，并借由与其他系统的联动，能够增强和完善现有保护机制。

　　因此，在选择适合的APT防护解决方案时， 需要注意此方案是否能与现有的安全体系相互合作，以检测、分析和响应攻击。并且，当威胁来临时，厂商的经验与专业服务能力，也会影响事中响应与事后取证分析的进行。只能通过定制化的侦测机制来监控你的网络，才可以有效地降低风险。

　　“APT攻击将会变得越来越复杂，这并不仅仅表示攻击技术越来越强大，也意味着部署攻击的方式越来越灵活。在未来，这类攻击将会具备更大的破坏能力，使得我们更难进行属性分析。” 蒋世琪谈到。

　　APT防护技术发展趋势

　　随着极具高风险的高级持续性攻击(APT)不断扩张和演进，如今，CIO们已经明确表示，APT攻击是信息安全一大隐忧，而这类威胁的防范必须融入一个更大的监测及预防策略中，并整合现有的网络防御。因此，企业用户会更加关注如何加强防范APT攻击与进阶威胁、避免攻击破坏网络及泄露敏感信息的努力，更能完全发挥客户已投资的安全防护产品和技术。

　　蒋世琪谈到，“在未来，我们会看到越来越多的企业用户对APT攻击会产生足够的重视。也会有越来越多的企业去思考用户面临的问题。”