APT(高级持续威胁)在过去的2年多时间中，正逐渐成为威胁企业安全的主流攻击方式。它的每一次出现，都会震动安全产业的神经;它的每一次出现，精细化程度和复杂程度都会引发企业对现有安全策略和架构的思考;它的每一次出现，目标靶单上的主角都会让人们大吃一惊，这份靶单上除了国家、组织机构、知名企业等外，甚至安全厂商也在劫难逃。据了解，在2011年美国本土有超过70次在APT范畴的大型安全攻击。

　　企业的高价值资产、关键数据成为APT攻击者不断追寻的猎物，它们包括：知识产权、高的访问权限、私有数据和系统。美国国家标准和技术研究院对APT给出了详细定义：精通复杂技术的攻击者利用多种攻击向量(如：网络，物理和欺诈)借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据(如将数据从内网输送到外网)，执行或阻止一项任务，程序;又或者是潜入对方架构中伺机进行偷取数据。APT威胁：1.会长时间重复这种操作;2.会适应防御者从而产生抵抗能力;3.会维持在所需的互动水平以执行偷取信息的操作。

　　诱发APT逐渐成为针对企业的主流安全威胁的因素有很多，比如竞争加剧的全球经济环境，金融市场的衰退，企业现有IT系统和安全架构的弊端。而对于大多数企业而言，不得不通过全新的思路和找寻更加有效的方法来应对APT攻击威胁。

　　近日RSA通过网络会议的形式举办了“领先一步应对危机四伏的高级网络威胁”研讨会，RSA资深技术顾问华丹在线分享了RSA如何帮助企业应对APT攻击的思路和方法。

　　知彼——解析APT典型流程

　　华丹首先分享了一个典型的APT攻击流程，这个流程你可能似曾相识，因为有的步骤也适用于其他安全威胁流程，比如木马制造，恶意分发，僵尸机的控制等。

　　如图所示，这是一个典型的APT恶意软件分发流程，需要五个步骤：黑客制造木马并通过0-day漏洞随机的控制僵尸机，通过目前主流的社交网络、IM工具等放出消息售卖其木马和僵尸资源，位于黑客产业链的第三方恶意软件资源得到消息后，会提供各种形式的恶意软件，并委托其将恶意软件放到分发更新服务器，被随机控制的僵尸机会通过分发服务器下载第三方恶意软件并释放恶意软件，僵尸机上的有价值信息会被窃取，同时这台机器会成为跳板，以帮助恶意软件潜入进更有价值的企业关键服务器。

　　华丹表示，“不管是APT，还是恶意软件分发都越来越产业化，分工更加精细，而且目标也更加明确，就是企业的关键数据和信息的重要节点。对于企业而言，目前的安全架构正在失效，因为在很短的时间，数据和信息就泄露了，而且攻击者全身而退，留给企业的可能是无迹可寻，或者花费很长的时间来调查数据和信息的泄露原因。”

　　对于APT攻击，企业所面临的挑战主要是APT攻击不易察觉，因为它的恶意程序回报有别于传统的攻击方式;此外，由于不明显的攻击和立即损害，会让企业低估APT攻击所带来的损失，后知后觉和数据泄露，让企业纠结于是否企业内部出现人为的泄露。

　　知己——应对APT先过自己这关

　　对于企业而言，面对APT攻击的挑战，他们都可能会关注这些问题。比如面对APT，企业是否有智能的收集和分析能力?安全控管是否能找对方向?攻击者是否获得了管理的权限和账户?企业中有多少用户的电脑已经成为牺牲品?企业管理者是否会加大投资来应对APT攻击?是否能与同行交流到更多的经验?等等问题。

　　RSA有自己的见解。华丹指出，“企业应对复杂的APT攻击，第一具备全面的可视性，即企业是怎样的一个状态，有哪些风险，有哪些资产是要保护的;第二需要灵活的分析，一旦遭遇APT攻击，需要有工具或平台能够帮助企业快速定位和分析攻击者是通过什么途径侵入企业?窃取了什么?第三企业治理与合规，企业需要在IT层面和业务层面有清晰的规范，比如资产状况，设备管理情况等;第四智能的实时显示，企业需要第一时间确定身份目标、攻击和事件，是来自有目的的攻击，还是祸起萧墙?

　　有了这四方面，就足够了吗?答案显然不是。华丹强调，“应对APT最困难的不是在技术层面，很多时候是在前期。企业应对APT，首先要看企业对APT或网络威胁的重视程度和理解程度。最常见的情况是，企业IT安全部门认为防御APT很重要，但企业领导不这么认为，那么问题就产生了;此外从技术角度，应对APT攻击时，企业在前期的选型和逻辑设计，选择APT攻击的解决方案时要评估、测试解决方案是否能够真正有效地实现防御、消除、以及事后调查。所以首先要看企业目前IT的成熟度，应对APT是否有决心;此外，在前期架构设计上是否有一套解决方案能够真正化解威胁。在整体框架确定后，才要考虑技术和与现有安全系统的融合。”

　　显然应对APT是技术问题，但更是考验企业IT信息化进程、宏观安全策略和心理博弈的综合能力评估问题，所以我才在这一小节的开始部分，与企业一起提出了这些问题。那么你有这样问过自己吗?

(责任编辑：)