高级持续性威胁——(Advanced Persistent Threat)
是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集,在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的C&C网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统或程序。

隐蔽性极强
         对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,2012年最火的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。

潜伏期强、持续性强
         APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意商业间谍威胁”,因此具有很长的潜伏期和持续性。

目标性、潜伏性
         针对特定政府或企业,长期进行有计划、有组织的窃取情报行为。
         APT会控制目标服务器审查指令等,确保有潜在价值文件的副本的顺利外传。

火焰病毒
       全名为Worm.Win32.Flame是一种后门程序和木马病毒,同时又具有蠕虫病毒的特点。据统计,迄今发现感染该病毒的案例已有500多起,其中主要发生在伊朗、以色列和巴勒斯坦。

极光行动
       该攻击名为“Aurora”,是APT攻击中典型的由外向内渗透攻击行为,其主要针对GOOGLE邮箱服务器进行攻击,不断获取指定GOOGLE账户中的邮件信息,其外还有20多家公司也遭受类似攻击。

夜龙行动
       Night Dragon是一种标准的APT攻击行为,已有5家西方跨国能源公司遭到夜龙行动“有组织、隐蔽、有针对性”的攻击。超过千兆字节的敏感文件被盗,包括油气田操作的机密信息、项目融资与投标文件等。

与传统威胁区别

类型 APT攻击行为 传统网络犯罪
是否破坏网站 带有目的性的破坏
是否有目标 明确的攻击目标 大面积扩展僵尸网络
目标用户 特殊机构或公司 用户个人凭证(银行卡号)
攻击频率 频繁 一次性
攻击途径 多种0day
精心构造的RAT
各种后门程序
各种常见的攻击工具
构造恶意URL
全功能的木马软件等
检测难度 通常存在较长时间的样本空白
检测率低于10%
成活时间短,容易被捕获
检测率超过95%

防范APT攻击的三个讯号

        第一:日志登录信息的暴增。如果你突然发现日志的登录注销记录突然大量出现,这时候你需要警惕;
        第二:后门木马广泛衍生。这种攻击手段相当普遍,如果你发现内网中时常感染后门和木马,这时候你需要警惕;
        第三:数据包异常流动,如果你看到大量数据流从内部计算机向外部流动或者企业内部时常出现不常见的压缩文件格式,这时候你需要警惕!

        以私有云模式对抗APT攻击在近些年来已成为了各厂商及解决方案提供商关注的焦点,私有云模式充分结合组织内部业务系统的特点,在企业内部搭建专属的私有安全网络,杜绝外界文件启动在全网引起的执行变动。
        金山安全将私有云安全系统成熟的应用到了百万级的客户端中,并且能够实现对APT等高持续威胁的防御与查杀。
        其工作原理为:
        对用户终端环境中所有的文件(尤其是业务系统文件)进行全网扫描,从而建立专属的“云安全知识库”,云安全知识库采用“白名单”为主的模式,对于企业有用的文件将提取入库,并做“标白”处理。在组织内部,云安全知识库以外的任何程序或者文件将禁止运行。此外,对于环境中新产生的灰文件此系统独有的鉴定器将依据金山亿万级的文件信誉体系进行“洗白”处理,因此,金山私有云防范APT攻击的措施可以概括为:“非白勿行”。
        金山私有云安全系统还能可针对环境中的文件变化进行实时分析,掌控数据文件的安全属性,洞察文件属性的变化,并形成全网信息安全风险评估和预警,从而使APT攻击即使入侵内部,也无法正常启动和传播。从保护核心数据入手,杜绝APT攻击的发起和实施。据了解,此解决方案已经成功应用于某跨国500强企业,并成功捕捉到了基于此企业决策层发起的APT攻击,此500强企业部署私有云防范APT的运维模型如下: