防止APT攻击：从安全事件中获取威胁情报

传统的安全方法提供了阻止已知恶意活动的控制，通常在遭受攻击后还伴随有后续的调查。

更复杂的企业会部署一些诸如沙箱的技术来检测和阻止以前未被发现的攻击。在遭到攻击和破坏后，安全团队往往会重视事件本身，但并没有从攻击者获得更多情报，或者分析与之有关的事件。

这些方法可能会遗漏高级攻击的一个基本事实：这些攻击并不是某个时点的活动，而是一系列可以在未来几周或几个月或几年发生的事件。高级攻击者可能会展开大量的活动，如深度调查、小型感染，以便于生成第二阶段或第三阶段的恶意软件，等等。冰冻三尺，非一日之寒。攻击和破坏本身是在过去的长时间里发生的一整套连续活动的高潮和顶点。在此过程中的每个步骤，往往属于网络攻击的生命周期，代表着检测和防止攻击者的一个重要机会。

在你简单修复攻击所造成的后果时，或者在你简单地阻止恶意活动的发生时，你其实正在浪费获得此事件背景的宝贵机会，例如“谁” “如何操作”以及“为什么”如此操作。确切地说，你从这些事件中获得的信息越多，就可以更好地理解安全状态，从而可以防止类似事件的再次发生。

攻击者能够轻松地改变其使用的恶意软件，但是要让他强化工具、策略、过程就要困难得多，而安全管理者可用这一点来检测其未来的活动。

例如，不妨比较以下两种情形：

第一种，你检测到一个未知的恶意软件感染了一台电脑。你重新镜像了此系统，并找到了一个未来的恶意软件的签名。

第二种，你检测并分析研究了一个恶意软件，将一系列最终导致感染的事件联系起来。你发现在这种攻击中所使用的方法类似于某个有大量资金支持的高级持续性威胁（APT）所利用的方法。

在第一种情况中，你快速修复了问题，并且增加了一个规则以防止完全相同事件的再次发生。但在第二种情况中，你不但修复了问题以及部署了一个签名，而且还判定了谁在找你的麻烦，如何操作，采用了哪些具体措施，并且理解了他的下一步目标甚至最终目标。这些情报有助于你确认其它被感染的机器，也可以发现被攻击者植入的后门。利用获得的这些情报，你可以找到一系列以前并没有发现的线索。

你还可以更高效地利用安全团队花费在安全事件上的有限时间。例如，与由政府或国家支持的网络间谍活动相比，低级的网络犯罪组织要求的响应就截然不同，因为这二者之间的复杂程度差异很大，企业的安全团队知道哪些最应优先考虑和对待。

你并不是在孤独地战斗。你可以找到大量的公共资源、提供信息共享的组织、厂商研究报告、分析服务等，这些都可以帮助你分析对手的情报。你获得的信息越多，分析得越好，就可以制定更佳的安全策略，从而可以更好地阻止有可能危害企业的特定对手。在攻击发生时，要珍惜检查事件的广泛背景，分析谁在攻击企业网络以及采取哪些措施来防止未来的攻击。