互聯網的普及也帶來了網絡病毒的肆意，傳統的網絡安全軟件可以有效的防范蠕蟲病毒、間諜軟件、木馬、釣魚等網絡攻擊威脅。然而，采用未知威脅為手段的APT攻擊則是針對數據庫、大量數據進行搜集，且所有的APT已知威脅只是對過去的積累和收集，很多新興威脅沒有樣本可循，這增加了APT威脅的攻擊力，并讓我們越發難測，由于APT攻擊的存在，企業暴露在未知威脅影響下的時間也越來越多，風險越來越大。

此外，由于云計算和移動互聯網的普及，智能終端讓任何接入點都可能變成系統漏洞，企業數據中心也變成一個彈性的外圍，很多網關/邊界式防護都會因此存在防護的缺失。網絡威脅背后的推動力是金錢利益與商業犯罪，其發展演變一定還會持續，所以一定要構筑一個面向APT威脅的綜合防護的體系，實現企業自身的安全進化。

APT是黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和入侵行為，是一種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃，并具備高度的隱蔽性。所謂知己知彼百戰百勝，防范APT，先從了解它入手。

APT是這么“來”的

APT的攻擊手法在于隱匿自己，針對特定對象，長期、有計劃和有組織地竊取數據，這種發生在數字空間的偷竊資料、搜集情報的行為，實際上是一種“網絡間諜”的行為。APT入侵的途徑多種多樣，主要包括以下幾方面：

首先是“水坑攻擊”，攻擊者在特定的網站上進行掛馬，而這些網站是受害者經常訪問的，從而導致惡意軟件入侵。[l1] 其次是“魚叉攻擊”，以社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之一。隨著社交工程攻擊手法的日益成熟，這些郵件幾乎真假難辨。從一些受到APT攻擊的大型企業事件中可以發現，這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始，都是針對某些特定員工發送釣魚郵件，以此作為使用APT手法進行攻擊的源頭。再次是利用防火墻、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另一重要手段。

總而言之，APT正在通過一切方式，繞過基于代碼的傳統安全方案，例如防病毒軟件、防火墻、IPS等，且更長時間地潛伏在系統中，讓傳統防御體系難以偵測。

APT是這么“做”的

“潛伏性和持續性”是APT攻擊主要特點。“潛伏性”，這些新型的攻擊和威脅可能在用戶環境中存在一年甚至更久，會不斷收集各種信息，直到收集到重要情報。而發動APT攻擊的目的往往不是為了在短時間內獲利，而是把“被控主機”當成跳板，持續搜索，直到能徹底掌握所針對的目標人、事、物。“持續性”APT攻擊具有持續性，甚至可能長達數年，讓人無從察覺。在此期間，這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段以及滲透到網絡內部后長期蟄伏。

同時，APT攻擊還具有“鎖定特定目標”和“安全遠程控制工具”的本事，“鎖定特定目標”針對特定用戶，長期進行有計劃性、有組織性的竊取情報行為，針對被鎖定對象寄送以假亂真的社交工程惡意郵件，例如冒充客戶的來信，取得在計算機植入惡意軟件的第一個機會。“安裝遠程控制工具”攻擊者建立一個類似僵尸網絡Botnet的遠程控制架構，會定期傳送有潛在價值文件的副本給命令和控制服務器(C&C Server)審查，過濾后的敏感機密數據利用加密的方式外傳。

有的放矢 綠盟“下一代威脅防御解決方案”為APT而生

綠盟科技為了應對日益增多APT高級持續性威脅，推出下一代威脅防御解決方案(簡稱NGTP)，解決方案由多個模塊組成，包括綠盟全球威脅信譽系統、威脅分析系統、入侵防護模塊、郵件過濾模塊、終端安全模塊。

　　威脅進不來

把威脅抵擋在企業之外是NGTP解決方案的重點。根據上面APT威脅嘗試進入的分析，針對“水坑攻擊”和“魚叉攻擊”這些高級攻擊手法，在網絡，Web，郵件和終端多個層面進行縱深檢測和防御。在網絡層面，尤其是Web上網訪問，采用威脅分析系統TAC產品和IPS產品聯動的方式進行;在郵件層面，采用威脅分析系統TAC和郵件安全網關聯動方式進行。

　　擴散藏不住

對于極少數成功進入企業的惡意軟件，通過機器學習建立模型，查找惡意軟件向外進行CnC回連、對內進行擴散的企圖。另外，大數據安全分析技術，對各種網絡安全設備告警，操作系統日志進行統計、關聯，既為威脅態勢提供宏觀視圖，也為惡意軟件擴散行為提供微觀細節展示。

綠盟科技NGTP方案，通過綠盟全球威脅情報系統(NTI)實現威脅信息的共享與實時推送，在具體防護方法上，以檢測未知威脅為核心，利用智能網管和大數據分析技術，對來自終端、安全網關、操作系統的告警信息進行綜合分析、可視化呈現和管控，降低安全運維成本，構建下一代防御安全防御體系。