近几年，网络安全威胁发生了很大变化，尤其是高级持续性威胁（APT）有愈演愈烈之势。那么，APT威胁最近有哪些新的发展？传统检测方法应对APT有哪些不足？我们又该如何防御？

　　APT威胁最新发展动态

　　FireEye公司发布的《2012年下半年高级威胁分析报告》指出，约每三分钟就会有一个机构遭受一次恶意代码攻击（特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件）； 92%的攻击邮件都使用zip格式的附件，剩下的格式还有pdf等。另外，根据CN-CERT发布的《2012年我国互联网网络安全态势综述》显示，2012年我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。

　　我们面临的问题是：我们对跨年度的恶意代码无法及时感知，传统反病毒体系的获取实时性遭到了挑战；APT攻击的攻击范围广、针对性强，它不仅仅局限于传统的信息网络，还会威胁工控系统、移动终端等其它信息系统，针对如能源、军工、金融、科研、大型制造、IT、政府、军事等大型组织的重要资产发动攻击；APT威胁愈演愈烈，普遍存在且影响严重。随着鱼叉式钓鱼攻击、水坑攻击等新型攻击技术和攻击手段的出现，对于APT攻击的检测和防范变得越发困难。

　　APT攻击技术日益复杂

　　APT攻击一般可以划分为4个阶段，即搜索阶段、进入阶段、渗透阶段、收获阶段。

　　在搜索阶段，APT攻击的攻击者会花费大量的时间和精力用于搜索目标系统的相关信息、制定周密的计划、开发或购买攻击工具等。在进入阶段，攻击者会进行间断性的攻击尝试，直到找到突破口，控制企业内网的第一台计算机。随后进入渗透阶段，攻击者利用已经控制的计算机作为跳板，通过远程控制，对企业内网进行渗透，寻找有价值的数据。最后，攻击者会构建一条隐蔽的数据传输通道，将已经获取的机密数据传送出来。

　　APT攻击是攻击者利用多种攻击技术、攻击手段，同时结合社会工程学的知识实施的复杂的、持续的、目标明确的网络攻击，这些攻击技术和攻击手段包括SQL注入攻击、XSS跨站脚本、0Day漏洞利用、特种木马等。

　　近几年，APT攻击技术更加复杂、攻击手段更加隐蔽，而且攻击已经不局限于传统的信息系统，而是逐渐把目标扩散到工业控制等系统，例如针对工业控制系统编写的Stuxnet、Duqu病毒。

　　APT攻击防御手段需持续改进

　　传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的威胁，对于未知的漏洞利用、木马程序、攻击手法，无法进行检测和定位，并且很多企业因为缺少专业的网络安全服务团队，无法对检测设备的告警信息进行关联分析。目前，在APT攻击的检测和防御上，主要有如下几种思路：

　　◆恶意代码检测：在互联网入口点对Web、邮件、文件共享等可能携带的恶意代码进行检测。

　　◆数据防泄密：在主机上部署DLP产品，APT攻击目标是有价值的数据信息，防止敏感信息的外传也是防御APT攻击的方法之一。

　　◆网络入侵检测：在网络层对APT攻击的行为进行检测、分析，例如网络入侵检测类产品。

　　◆大数据分析：全面采集网络中的各种数据（原始的网络数据包、业务和安全日志），形成大数据，采用大数据分析技术和智能分析算法来检测APT，可以覆盖APT攻击的各个阶段。

　　上述的防御方式各有各自的特点，恶意代码检测产品通常部署在互联网入口点，可以在APT攻击的初始阶段对攻击进行检测、发现，例如可以抓取携带后门程序、异常代码的word文件、pdf文件等等；网络入侵检测可以在网路层对APT攻击行为进行检测，如果攻击者通过跳板对内网进行渗透攻击，网络入侵检测系统可以进行预警、定位；数据防泄密可以防止APT攻击者将计算机中的敏感数据外传，可以有效降低攻击行为所造成的损失；大数据分析的检测比较全面，可以覆盖APT攻击的各个环节。

　　虽然每种防御方式针对APT攻击的各个阶段进行检测，但是由于APT攻击的复杂性、隐蔽性，不排除有漏报或误报的可能，所以APT攻击的检测和防御产品同样需要跟随信息安全的发展动态，持续的进行改进。

　　他建议，在不能完全挡住APT攻击的情况下，要将APT攻击的危害降到最小，就需要做到以下几点：

　　l要有APT攻击检测和防御的手段，可以通过安全检测产品，由专业的安全服务人员进行运维、分析，及时发现、处置攻击事件。

　　l要定期组织信息安全培训，警惕攻击者结合社会工程学进行欺骗攻击。

　　l要加强对重要信息资产的保护，从访问控制、用户权限、网络安全审计等等层面对控制措施和手段进行优化和加强。