近年來，在互聯網領域，網絡空間的安全形勢發生了巨大改變，APT攻擊增長趨勢呈指數級發展，并逐漸演變成了各種社會工程學攻擊與各類0day漏洞利用的綜合體，成為最具威脅的網絡攻擊方式。

面對APT 傳統安全體系面臨防御之困

與過去主要來自病毒和木馬的安全威脅不同，APT攻擊破壞性之大、隱蔽性之強等特性，讓如今企業所面臨的網絡安全風險愈加復雜。與此同時，以APT攻擊為代表的未知威脅非常容易擊穿傳統技術手段組成的網絡安全防御體系，其威脅遠遠大于普通的木馬病毒。

在專注于網絡分析技術研究與產品開發的科來看來，利用各種系統漏洞或軟件漏洞進行滲透的惡意代碼已成為目前APT攻擊的主要手段，而利用或盜用合法的認證簽名，利用瀏覽器漏洞和水坑攻擊將替代郵件攻擊將成為APT攻擊發展的趨勢，與此同時，攻擊者也更注重對沙盒的反檢測技術，從而躲避安全廠商的動態檢測技術。

而就目前對APT攻擊的防御現狀來看，傳統的安全軟件多以防范病毒和木馬為主，無法有效防范漏洞攻擊。只有當漏洞被黑客大規模攻擊時，安全廠商才有機會監測到漏洞。而傳統的防火墻、入侵檢測、安全網關、殺毒軟件和反垃圾郵件系統等檢測技術也主要是網絡邊界和主機邊界進行檢測,它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。這種滯后響應的方式已經無法適應新的安全形勢。

APT攻擊來襲如何應對？

對APT攻擊的防御與傳統的安全防護理念有所不同，APT攻防是一個對抗的過程，攻防雙方都在不斷更新自己的技術手段。而發展至今，應對APT的手段也是多種多樣：黑白名單、動態檢測技術、大數據分析、全流量數據審計等是目前應用較多的防御方式。

但從安全角度來說，某一種防御技術或在某一階段設置安全策略的效果是有限的。科來指出，防御APT攻擊，最重要的是要在事前事后都做好應對方案。在以上眾多的APT防御手段中，動態檢測技術是目前一種較為有效的檢測手段，其可以記錄樣本運行后的所有行為，以此判斷出是否是惡意的APT攻擊代碼。但這一技術也有其不足之處：有些高級的木馬會做虛擬機檢查，如果發現是虛擬機，則不會執行攻擊行為，避免暴露自己。因此，動態檢測技術也不是萬能的，虛擬機環境不匹配，也無法誘導木馬的攻擊行為。

由此，基于此硬件模擬的虛擬化動態檢測技術應運而生，其能夠模擬硬件的所有指令，讓木馬無法檢測是一個虛擬環境，具有防木馬反檢測的能力。據了解這也是Fire eye采用的技術，而目前國內只有科來在應用該項技術。

但對APT攻擊的防御絕非如此簡單，對于APT攻擊而言，沒有百分之百的安全防護手段，在攻擊成功后，用戶還必須轉變思維，做到快速發現威脅，快速響應威脅，以實現發現防御APT。

具體而言，在虛擬化動態檢測技術應用之后，從流量中便無法再獲得攻擊樣本，木馬會通過隱蔽信道技術，通過加密或躲到正常通訊里進行C&C通訊，為了躲避檢測，通訊數據量非常少，要想區分這些數據如大海撈針。可正是因為想隱藏才會產生可疑的行為數據，此時通過建立異常行為模型，用異常流量檢測技術來發現分析隱藏在正常通訊中的特殊編碼、心跳等數據，為進一步取證分析提供線索。

D1Net評論：

常言道“智者千慮難免一失”。除了以上手段，全流量安全審計也是APT分析的重要保障，亦是對未知攻擊分析取證的必要手段。無論攻擊者如何隱藏，只要攻擊通過網絡，必然會產生相應數據，企業只有做到全流量數據記錄，同時對網絡數據進行深度分析，并建立企業私有云，才能做到發現追蹤取證防御APT，做到百密而無一疏。