導(dǎo)語：剛剛過去的2014年是信息安全形勢極為復(fù)雜的一年，大量影響到我們切身生活的信息安全事件頻繁出現(xiàn)，尤其是各種APT攻擊事件趨于爆發(fā)式增長，傳統(tǒng)的安全威脅方式已經(jīng)漸漸消失，具有持續(xù)性、針對性和隱蔽性的新一代網(wǎng)絡(luò)安全威脅日趨常態(tài)化，越來越多的出現(xiàn)在我們的周圍，影響到我們的信息系統(tǒng)安全。

企業(yè)如何有效防范APT攻擊成為現(xiàn)階段的最主要難題，攻擊者已經(jīng)不再滿足于技術(shù)炫耀，更多的以商業(yè)利益和網(wǎng)絡(luò)戰(zhàn)為目的。因此應(yīng)對APT攻擊必須要對網(wǎng)絡(luò)系統(tǒng)進(jìn)行整體評估，分析所有可能被利用的網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)。

攻擊者已經(jīng)不再滿足于技術(shù)炫耀，更多的以商業(yè)利益和網(wǎng)絡(luò)戰(zhàn)為目的，不惜大量的人力和財(cái)力來挖掘各種0day漏洞，并利用這些漏洞秘密潛入重要系統(tǒng)竊取情報(bào)，這些網(wǎng)絡(luò)間諜行動往往針對國家重要的基礎(chǔ)設(shè)施和單位進(jìn)行，包括能源、電力、金融、國防等;有些則屬于商業(yè)黑客犯罪團(tuán)伙入侵企業(yè)網(wǎng)絡(luò)，搜集一切有商業(yè)價值的信息。尤其是涉及到高新技術(shù)的企事業(yè)單位，存在大量的機(jī)密技術(shù)信息，往往容易成為APT攻擊的目標(biāo)。一旦被鎖定為攻擊目標(biāo)，最終可能導(dǎo)致大量隱私信息和機(jī)密技術(shù)信息泄露。如果是國家、政府和軍隊(duì)等受到攻擊，可能會導(dǎo)致國家機(jī)密信息泄露，后果不堪設(shè)想。

因此，應(yīng)對APT攻擊必須要對網(wǎng)絡(luò)系統(tǒng)進(jìn)行整體評估，分析所有可能被利用的網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)，包括各種WEB服務(wù)器、郵件服務(wù)器和辦公網(wǎng)絡(luò)等網(wǎng)絡(luò)系統(tǒng)入口，這些弱點(diǎn)都可能會被利用作為APT攻擊的入口，攻擊者通常會結(jié)合各種WEB攻擊、郵件攻擊、惡意文件攻擊、社工類攻擊和0day攻擊等多種攻擊方式控制這些中轉(zhuǎn)目標(biāo)，并以這些中轉(zhuǎn)目標(biāo)為跳板向更多內(nèi)網(wǎng)主機(jī)進(jìn)行滲透，最終通過精心構(gòu)造的RAT工具進(jìn)行控制和回連，達(dá)到竊取機(jī)密信息的目的。

對于企業(yè)而言，APT攻擊的規(guī)律和特點(diǎn)決定了采用單一的應(yīng)對機(jī)制通常難以進(jìn)行有效應(yīng)對，而應(yīng)對APT攻擊最大的難點(diǎn)在于如何有效發(fā)現(xiàn)APT攻擊，一旦發(fā)現(xiàn)APT攻擊就可以通過多種手段進(jìn)行阻斷，因此，必須建立一套完整的安全應(yīng)對體系，對所有可能存在的安全風(fēng)險(xiǎn)進(jìn)行分析，包括WEB、郵件和文件等多種緯度網(wǎng)絡(luò)流量的持續(xù)監(jiān)控和深度解析，利用靜態(tài)分析和動態(tài)分析相結(jié)合的機(jī)制，對所有已知和未知的攻擊行為進(jìn)行分析，并挖掘其中的關(guān)聯(lián)性，還原APT攻擊路徑，及時感知可能出現(xiàn)的APT攻擊行為，然后再針對攻擊的方式利用防火墻、WAF、殺毒軟件等現(xiàn)有安全資源進(jìn)行阻斷，將損失影響降低到最小。

(原文作者：董建偉）

D1Net評論：

安全攻防之間的對抗一定是一個動態(tài)的過程，對于企業(yè)的CSO來說，要做好防御APT攻擊也一定是一個動態(tài)的過程，必須通過整體化的應(yīng)對方案持續(xù)監(jiān)控可能存在的安全威脅，及時感知其中真正對我們有影響的威脅，再采用針對性的應(yīng)對防護(hù)措施，然后不斷加固和完善整體網(wǎng)絡(luò)安全防護(hù)體系，通過持續(xù)循環(huán)的動態(tài)安全應(yīng)對過程，不斷增強(qiáng)安全對抗能力。