不会消失的威胁

　　什么是高级持续性威胁?

　　先进、恶劣、隐蔽。这是当前最高端的网络攻击最贴切的说明。本世纪早期，“黑帽”团体通常由未成年黑客组成，主要是恶作剧和赚点小钱。现在，这些黑客已经演变成为高度组织化的犯罪网络，进行危险的攻击以从公司甚至是政府网络攫取信息和知识产权。此外，不断普及的移动设备、云计算和虚拟化平台也为攻击带来了“有丰富目标”的环境。

　　APT 是一种攻击类型，要复杂得多，也更难于检测。Duqu 就是一个极佳的例子。这是臭名昭著的 Stuxnet 的变体，Duqu 的发现再次引发了对重要电站、水处理设施和化工厂进行攻击的担忧7。实际上，现在的安全高层管理人员中有 75% 对 APT 表示了关注8。

　　APT 具有哪些特征?

　　是什么特性将 APT 与其他普通恶意软件区分开?首先需要了解的是，APT 总是目标性攻击，但目标性攻击并不一定是 APT。可以采用以下方法来区分 APT：

　　•高度自定义

　　APT 通常使用高度专业化的工具和入侵技术，专为其针对的目标环境而设计。它们利用零时差漏洞、病毒和蠕虫。根据观察到的结果，APT 还可以同时启动多重威胁以确保对目标威胁的持续访问。

　　•低调缓慢

　　APT 的主要特点是在相当长的时期内发作。攻击以耐心的方式开展，在基础架构的防御所不能及的地方安静地进行，以避免被检测到。典型的“强行挖掘”策略需要耗费数天。这些攻击将继续监视和访问实际情况以达成目标。

　　•更宏大的目标

　　APT 攻击的目标包括收集军事、政治或经济情报，以及干扰设备的运营。在某些情况下，APT 背后的团队拥有充足的资金和人力，甚至可能在军事或国家情报机构的支持下运作。

　　•特定目标

　　APT 通常针对的目标范围要小得多，例如政府机构以及在全球市场上拥有极强竞争力的产品生产商。APT 也可能会攻击供应商或合作伙伴组织。遭受攻击最多的行业是矿业和燃油(八分之一)，然后是运输和公用事业单位、电信及工程。

　　APT 如何运作?

　　典型的 APT 攻击分四个阶段进行：

　　•入侵

　　与一般攻击不同，APT 入侵的目标是建立“滩头”，从这里可以在相当长的一段时间内进行隐蔽的活动。第一阶段主要工作是侦察。APT 攻击通常会用几个月的时间研究其目标，让自身熟悉目标系统、流程和人员，包括合作伙伴和供应商。他们可以从非公开和公开来源提取信息，例如社交网络网站，以获取私有网络的访问权限。入侵也可以通过狡猾的社交骗局技术进行，例如吸引没有疑心的员工打开来自可信合作伙伴或同事的附件。零时差漏洞一种突破目标防御的常用手段。

　　•发现

　　在进入之后，攻击者会开始描绘出组织的系统，并扫描机密数据，例如凭据和密码，以突破系统。在发现过程中，APT 使用多种发现技巧，可能会在攻击过程中下载更多工具。发现的其他目标包括未受保护的数据、网络以及软件和硬件漏洞。

　　•收集

　　然后，APT 将进入收集阶段。未受保护系统上公开的数据可以即时访问。它会停留在目标基础架构中，在相当长的时间内收集信息。APT 占据系统中的平均天数为 145 天，记录到的最长时间为 660 天。它们还可以远程启动或关闭软件和硬件系统。其潜在威胁巨大。实际上，Stuxnet 病毒能够重新对行业控制系统编程并操纵物理设备。

　　•渗漏

　　在 APT 的最终阶段，入侵者具有完全的自由，可以窃取知识产权和机密数据。使用命令和控制服务器，可以将收集的数据以加密数据包、压缩文件甚至通过电子邮件发送回攻击系统。攻击进入到此阶段时，标准的数据泄漏防护措施将无法再阻止渗漏。攻击者已经找到了用于回避目前常用安全技术和防御措施的方法。

　　保护您的企业不会受到 APT 侵害

　　针对 APT 最有效的准备方法是，确保组织具有良好的防御措施，一般而言，针对目标性攻击的每一阶段。以下是建议的“现状检查”问题，可帮助您的组织向正确的方向迈进：

　　针对目标性攻击进行防御

　　•您的主要员工和高层管理人员是否会成为知识产权窃取的潜在目标?

　　•您是否有任何主要系统曾受到过恶意软件的侵害?

　　检测恶意活动

　　•您是否具备检测和停止隐藏感染的能力?

　　•您目前采取了什么措施来确保组织不受感染?

　　防止数据泄露

　　•敏感数据是否通过公司和个人的电子邮件帐户流出了网络?

　　•对于敏感文件漏洞，是否具备足够的监控能力?

　　修复现有漏洞

　　•哪些数据库、服务器和网络设备易受黑客攻击?

　　•哪些未受管理的设备对关键系统带来了安全风险?

　　•哪些漏洞在进行修复时应有最高的优先级?

　　幸运的是，APT 并非所向披靡。通过更深入了解这些威胁，并对基础架构进行深入的安全评估，组织可以采取有效的措施来防御这种新一代的网络攻击。利用现有的最佳做法和解决方案，组织可以享受到全面而高效的保护：

　　使用赛门铁克解决方案，保护您的企业免受最新威胁的侵害：

　　威胁和漏洞情报

　　利用全球情报网络，确认哪些威胁有可能影响业务，根据新型的威胁，落实防范措施或自动化策略

　　•赛门铁克 DeepSight 安全情报服务

　　网络威胁和漏洞监视

　　检测网络入侵、异常出站通信、恶意通信模式和异常情况日志

　　•Symantec Critical System Protection

　　•Symantec Endpoint Protection 12

　　•Symantec Security Information Manager

　　•赛门铁克托管安全服务

　　高级信誉技术

　　使用基于信誉的技术，面对新型高级威胁提供保护

　　•Symantec Endpoint Protection 12

　　•Symantec Protection Suite 企业版

　　强大的身份验证功能

　　识别用户和设备，使用双重身份验证保护用户

　　•赛门铁克加密解决方案

　　•赛门铁克用户身份验证

　　Data Loss Prevention

　　确认会成为 APT 方便攻击的目标的机密数据泄漏

　　•Symantec Data Loss Prevention

　　可移动设备控制

　　限制对可移动介质的访问

　　•赛门铁克加密解决方案

　　网络和电子邮件过滤

　　针对社交骗局攻击以及通过电子邮件或网络提供的恶意软件提供防御

　　•由 Brightmail 提供支持的 Symantec Messaging Gateway

　　•赛门铁克 MessageLabs 电子邮件安全云服务

　　•Symantec Web Gateway

　　•赛门铁克 MessageLabs Web 安全云服务

　　系统管理

　　通过集中管理以及对 IT 资产的监控，减少基础架构中的安全风险

　　•赛门铁克 Altiris IT Management Suite

　　•Symantec Mobile Management

　　•Symantec Control Compliance Suite