APT即“Adavanced Persistent Threat”，是指针对明白方针的延续的、复杂的收集报复打击。在2010年Google公司承认蒙受严重黑客报复打击后，APT报复打击成为信息安然行业热议的话题之一。

　　APT报复打击的首要特点

　　APT就像收集世界神秘莫测的刺客，以其本身的特点威慑着方针系统的安然。

　　针对性：与传统的收集报复打击比拟，APT报复打击针对性很强。传统的收集报复打击一般会选择相对等闲的报复打击方针，而APT报复打击在选定报复打击方针后，一般不会改变，全部报复打击过程都颠末报复打击者的精心策划，报复打击一旦倡议，报复打击者会针对方针收集测验测验不合的报复打击手艺、报复打击手段，不达目标尽不罢休。

　　埋没性：APT报复打击具有极强的埋没性，报复打击者常常会操纵丰硕的经验、进步前辈的手艺、超凡的耐性来袒护本身的行迹，遁藏常规安然产品的检测，并且全部报复打击过程时候跨度较大年夜，给APT报复打击的防御带来极大年夜的挑战。

　　复杂性：在APT报复打击过程中，报复打击者常常会操纵多种报复打击手艺、报复打击手段，不但会操纵已知安然缝隙、木马后门，还可能会操纵0DAY缝隙、特种木马，凡是会连络社会工程学的相干常识，并且报复打击路径复杂，下图为APT报复打击可能操纵的报复打击手段。

　　APT报复打击的一般过程

　　虽然每起APT报复打击事务都有不合的诡计、不合的报复打击方针，可是预备和实施APT报复打击有一个通用的过程，一般可以划分为4个阶段，即搜刮阶段、进进阶段、渗入阶段、收成阶段。

　　APT报复打击的一般过程

　　搜刮阶段：APT报复打击与通俗收集报复打击比拟，在信息搜刮的深度和广度上有较着不合。APT报复打击的报复打击者会破钞大年夜量的时候和精力用于搜刮方针系统的相干信息。他们会体味企业的布景、公司文化、人员组织，还会汇集方针系统的收集布局、营业系统、利用法度版本等信息。随掉队犯者会拟定周到的打算，辨认有助于报复打击方针达成的系统、人员信息，汇集、开辟或采办报复打击东西，APT报复打击可能会操纵特种木马、0DAY缝隙操纵东西、口令猜想东西，和其它渗入测试东西。

　　进进阶段：报复打击者会进行间断性的报复打击测验测验，直到找到冲破口，节制企业内网的第一台计较机。常见的编制以下：

　　歹意文件：精心计表情关，并以邮件、IM软件等情势向内部员工发送携带歹意代码的PDF、Word文档;

　　歹意链接：以邮件、IM软件等情势向内部员工发送携带歹意代码的URL链接，诱使员工点击;

　　网站缝隙：操纵网站系统的缝隙，例如SQL注进、文件上传、长途溢出等等，节制网站办事器作为跳板，对企业内部进行渗入、报复打击;

　　采办“肉鸡”：这是一种最便捷的报复打击编制，即从地下暗盘直接采办企业内部已被其它黑客攻下的计较机。

　　渗入阶段：报复打击者操纵已节制的计较机作为跳板，经由过程长途节制，对企业内网进行渗入，寻觅有价值的数据，与进进阶段近似，本阶段一样会考验报复打击者的耐烦、手艺、手段。

　　收成阶段：报复打击者会构建一条埋没的数据传输通道，将已获得的奥秘数据传送出来。其实本阶段的名字叫“收成阶段”，但却没有时候的限制，因为APT报复打击的倡议者与通俗报复打击者比拟是极端贪婪的，只要不被发现，报复打击行动常常不会遏制，延续的测验测验盗取新的敏感数据与奥秘信息。

　　若何防御APT报复打击

　　正所谓“良知知彼，战无不胜”，在我们对APT报复打击有必然体味后，也要自省其身，体味企业的安然近况，才能做好防护，例如：企业与哪些机构通信交互？企业的组织布局？现有的安然策略有哪些？哪些数据是奥秘数据，需要加强呵护？是不是有检测APT报复打击的手艺手段？是不是有完美措置信息安然进侵事务的应急响应流程？员工的安然意识是不是需要强化……

　　回顾APT报复打击的四个阶段，我们在每个阶段可以做些甚么呢?

　　汇集阶段：报复打击者在此阶段首要任务是汇集信息、拟定打算。在此阶段我们可以依托安然威胁检测、预警系统，辨认报复打击者对企业收集的嗅探、扫描行动，做到提早防备;加强对信息系统的安然治理，例如按期进行安然查抄、加固，尽可能少的透露系统信息，进步初始报复打击的难度;按期对员工进行安然意识培训，进步员工的安然防备意识。

　　进进阶段：报复打击者在此阶段会想编制节制企业内部的计较机作为实施进侵行动的第一个落脚点。在本阶段我们可以依托安然威胁检测、预警系统辨认正在进行的报复打击行动;合理建设进侵防御系统、防火墙等产品的安然策略，阻断常规的报复打击测验测验行动;进步警戒，避免报复打击者操纵社会工程学进行拐骗;一旦发现报复打击事务，启动事务措置及应急响应流程。

　　渗入阶段：渗入阶段与进进阶段近似，报复打击者城市测验测验不合的报复打击手艺、报复打击手段对方针系统进行进侵。可以考虑经由过程合理打算安然域，加强系统账户的安然审计、系统账号及权限治理、系统安然策略优化等手段进步报复打击者继续渗入的难度;别的，威胁监测和安然意识一样是强化的重点。

　　收成阶段：在本阶段报复打击者会设法将获得的奥秘数据信息传送至企业外部收集，是以对敏感流量、不法连接的检测变得尤其首要。

　　APT报复打击没法经由过程单一的安然产品和安然手艺进行有效的检测、防护，企业只有成立以安然手艺与安然治理相连络的纵深防护系统，才能抵抗APT报复打击。别的，在APT报复打击与防御的一般过程中，威胁检测贯穿始终，因为只有及时发现APT报复打击，我们才能在第一时候禁止收集报复打击局势的继续恶化，进而有的放矢的完美企业的安然防护系统。

　　ADLab APT检测防御

　　启明星斗是业界领先的安然产品、安然办事、安然解决方案供给商，在安然办事方面具有多年的手艺沉淀和堆集。ADLab(积极防御尝试室)安然办事团队更是经历过浩繁国度重点科研项目、信息安然保障项目标浸礼，依托专业的安然产品、安然办事，和最好实践，启明星斗推出M2S 2.0延续威胁监测办事，协助企业锻造APT报复打击防御的壁垒。

　　M2S 2.0延续威胁监测办事的方针是经由过程专业的安然产品监测客户信息系统中的异常收集行动和歹意报复打击行动，例如0DAY缝隙操纵、特种木马事务、间谍软件事务、组合报复打击事务等，依托启明星斗ADLab专业的安然办事能力对安然产品的告警信息、日记数据进行深进发掘、阐发，将异常收集行动和歹意报复打击事务以阐发陈述的情势清晰的揭示出来，使客户可以或许对安然事务进行及时措置。

　　M2S 2.0延续威胁监测办事将安然产品和安然办事有机连络，即以专业的安然办事为粘合剂，将传统的进侵检测、蜜罐系统、异常流量检测等与敏感流量检测、歹意代码检测，和其它新兴的安然产品和检测手艺进行整合，实现对APT报复打击的监测、辨认、告警。下图为部门监测及办事方针：

　　今朝，M2S 2.0延续威胁检测办事已陆续在部门重点客户处进行试点摆设和实施，并且获得了不错结果，在不到半年的时候里，已检测到数起歹意收集进侵行动。