全方面解析高级持续性威胁

高级持续性威胁高级持续性威胁（Advanced Persistent Threat，APT），又称高级长期威胁，是一种复杂的、持续的网络攻击，包含三个要素：高级、长期、威胁。高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度；长期是过程中“放长线”，持续监控目标，对目标保有长期的访问权；威胁强调的是人为参与策划的攻击，攻击目标是高价值的组织，攻击一旦得手，往往会给攻击目标造成巨大的经济损失或政治影响，乃至于毁灭性打击。

高级持续性威胁（APT）的攻击阶段

APT攻击者通常是一个组织，从瞄准目标到大功告成，要经历多个阶段，在安全领域这个过程叫做攻击链。

信息收集：攻击者选定目标后，首先要做的就是收集所有跟目标有关的情报信息

外部渗透：确定渗透手段、制作特定的恶意软件、将其投递到目标网络内

命令控制：当目标用户使用含有漏洞的客户端程序或浏览器打开带有恶意代码的文件时，就会被恶意代码击中漏洞，下载并安装恶意软件

内部扩散：攻陷一台内网主机后，恶意程序会横向扩散到子网内其他主机或纵向扩散到企业内部服务器

数据泄露：聪明的黑客在攻击的每一步过程中都通过匿名网络、加密通信、清除痕迹等手段来自我保护，在机密信息外发的过程中，也会采用各种技术手段来避免被网络安全设备发现

高级持续性威胁（APT）的典型案例

GoogleAurora极光攻击

震网攻击

SolarWinds供应链事件

高级持续性威胁（APT）的特点

攻击者组织严密：往往是一个组织发起的攻击，可能具有军事或政治目的

针对性强：攻击者不会盲目攻击，一般会很有针对性的选择一个攻击目标

手段高超：APT攻击的恶意代码变种多且升级频繁

隐蔽性强：APT攻击者具有较强的隐蔽能力，不会像DDoS攻击一样构造大量的报文去累垮目标服务器

持续时间长：攻击者一般都很有耐心，渗透过程和数据外泄阶段往往会持续数月乃至数年的时间

如何应对高级持续性威胁（APT）

高级威胁通常利用定制恶意软件、0Day漏洞或高级逃逸技术，突破防火墙、IPS、AV等基于特征的传统防御检测设备，针对系统未及时修复的已知漏洞、未知漏洞进行攻击。华为APT防御与大数据安全解决方案采用大数据分析方法，采集全网信息，辅助多维风险评估，准确的识别和防御APT攻击，有效避免APT攻击造成用户核心信息资产损失。该解决方案相关产品包括FireHunter6000沙箱和HiSec Insight安全态势感知系统（原CIS）。

编辑：jq