通信世界网讯(CWW) 近几年，高级持续性威胁（APT）有愈演愈烈之势。APT威胁最近有哪些新的发展？我们又该如何防御？启明星辰积极防御实验室（ADLab）副总监杨红光给出了自己的看法。

近几年，安全威胁发生了很大变化，尤其是高级持续性威胁（APT）有愈演愈烈之势。那么，APT威胁最近有哪些新的发展？传统检测方法应对APT有哪些不足？我们又该如何防御？启明星辰积极防御实验室（ADLab）副总监杨红光给出了自己的看法。

APT威胁最新发展动态

FireEye公司发布的《2012年下半年高级威胁分析报告》指出，约每三分钟就会有一个机构遭受一次恶意代码攻击（特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件）； 92%的攻击邮件都使用zip格式的附件，剩下的格式还有pdf等。另外，根据CN-CERT发布的《2012年我国互联网网络安全态势综述》显示，2012年我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。

我们面临的问题是：我们对跨年度的恶意代码无法及时感知，传统反病毒体系的获取实时性遭到了挑战；APT攻击的攻击范围广、针对性强，它不仅仅局限于传统的信息网络，还会威胁工控系统、移动终端等其它信息系统，针对如能源、军工、金融、科研、大型制造、IT、政府、军事等大型组织的重要资产发动攻击；APT威胁愈演愈烈，普遍存在且影响严重。随着鱼叉式钓鱼攻击、水坑攻击等新型攻击技术和攻击手段的出现，对于APT攻击的检测和防范变得越发困难。

APT攻击技术日益复杂

APT攻击一般可以划分为4个阶段，即搜索阶段、进入阶段、渗透阶段、收获阶段。

在搜索阶段，APT攻击的攻击者会花费大量的时间和精力用于搜索目标系统的相关信息、制定周密的计划、开发或购买攻击工具等。在进入阶段，攻击者会进行间断性的攻击尝试，直到找到突破口，控制企业内网的第一台计算机。随后进入渗透阶段，攻击者利用已经控制的计算机作为跳板，通过远程控制，对企业内网进行渗透，寻找有价值的数据。最后，攻击者会构建一条隐蔽的数据传输通道，将已经获取的机密数据传送出来。

APT攻击是攻击者利用多种攻击技术、攻击手段，同时结合社会工程学的知识实施的复杂的、持续的、目标明确的网络攻击，这些攻击技术和攻击手段包括SQL注入攻击、XSS跨站脚本、0Day漏洞利用、特种木马等。

近几年，APT攻击技术更加复杂、攻击手段更加隐蔽，而且攻击已经不局限于传统的信息系统，而是逐渐把目标扩散到工业控制等系统，例如针对工业控制系统编写的Stuxnet、Duqu病毒。

APT攻击防御手段需持续改进

传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的威胁，对于未知的漏洞利用、木马程序、攻击手法，无法进行检测和定位，并且很多企业因为缺少专业的安全服务团队，无法对检测设备的告警信息进行关联分析。目前，在APT攻击的检测和防御上，主要有如下几种思路：