攻击者借助APT进行隐秘潜伏

　　企业和政府机构的网络几乎每天都会遭受攻击，在这些攻击中，有一类攻击特别值得关注，因为它的危害严重。这就是APT(Advanced Persistent Threat，高级持续性威胁)攻击。

　　APT攻击是一种特定的攻击，是为了获取某个组织甚至是国家的重要信息，有针对性进行的一系列攻击。APT攻击利用了多种攻击手段，包括最先进的技术和社会工程学方法，一步一步地获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击c。

　　此外，APT攻击具有持续性，甚至可以长达1年，这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。总之，APT攻击具有很强的特定性，特指有明确目的的攻击，而非随意的攻击。

　　有些人错误地认为 APT 只是盯着政府部门。实际上，对于APT攻击而言，政府机构和商业组织之间并没有明显区别，因为它的目的只是拿到有价值的数据并以此牟利。

　　要想防范APT攻击，有必要采取以下措施：

　　1.控制用户并增强安全意识。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制用户的随意点击能够降低整体安全风险，这是一项需要长期坚持的措施。

　　2.对行为进行信誉评级。传统安全解决方案采用的是判断行为“好”或“坏”，进而“允许”或“拦截”之类的策略。不过，随着高级攻击日益增多，这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络，得逞后再实施破坏。由于攻击者的目标是先混入系统，因此，需要对行为进行跟踪，并对行为进行信誉评级，以确定其是否合法。

　　3.重视传出流量。对于 APT而言，传出流量则更具危险性。如果意在拦截数据和信息的外泄，监控传出流量是检测异常行为的有效途径。

　　4.了解不断变化的威胁。对于您不了解的东西很难做到真正有效的防范。因此，应该对APT攻击威胁有深入了解，做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩，将不能做到根据威胁状况有效调整防范措施。

　　5.管理终端。攻击者可能只是将侵入网络作为一个切入点，他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险，控制和锁定终端将是一项长期有效的安全保护措施。

　　Google的安全人员利用DNS日志来追踪极光(Aurora)攻击。Google安全经理Adkins说：“我们发现最有用的方法是系统数字取证、事件日志和恶意软件分析。”当Google发现了网络渗透后，安全团队变得十分敏锐，他们仔细检查，不放过每个简单的异常事件。

　　然而，如果您的IT团队没有Google般的耐心和技巧，APT攻击将是一个巨大隐患。