一般的信息安全解決方案可以對抗高級持續性攻擊(Advanced Persistent Threat，APT )嗎? APT是為了從組織內部搜集特定檔案“特別”設計出來的嗎?資料外泄事件是APT造成的嗎?應該說APT攻擊是由“人”所發起的攻擊，因此他們是智慧的、積極的找尋并最終攻陷目標，那么，今天IT團隊以及他們的網絡所面臨的挑戰將會更加殘酷。

為了有效的幫助企業制訂對抗APT的安全策略，趨勢科技TrendLab經過充分調查，采用直觀的數據圖表方式來說明了APT在各個階段所表現的形態。根據APT攻擊行為的特點分析，趨勢科技的研究人員將APT攻擊分為如下幾個階段，它們是：情報收集、進入點、命令和控制(C&C)通訊、橫向擴展、資產/數據發掘和數據竊取。

通過對APT各階段攻擊的分析，IT團隊可以了解到黑客對自己網絡發動攻擊時用到的戰術和操作。這種分析有助于觀察黑客從特定網絡所發動攻擊的行為，并結合內部系統存在的安全隱患，建立本地威脅防御體系和動態的安全策略，這是消除由同一伙黑客或是同一類型APT攻擊的關鍵。

【APT攻擊流程圖】

在現實狀況下，要處理APT各階段的攻擊比一般的網絡攻擊要更加困難。比如說：在資產/數據發掘階段，此時攻擊者已經進到網絡內部，他們尋找并分析哪些數據具有價值，并加以 利用。根據一項調查顯示，雖然公司的機密信息占全部數據的三分之二，但是只有一半的企業會針對此種威脅安排信息安全建設預算，信息安全有時也會淪為了“討價還價”的范圍。

解密APT攻擊過程全貌

第1階段，情報收集：攻擊者會鎖定的公司和資源采用針對性APT攻擊，通常將目標鎖定到企業員工的身上作為開端，并通過社交工程攻擊開啟一連串攻擊。而在調查數據中，只有31%的企業會懲處將公司機密資料貼到社區網站上的員工，這樣使得黑客非常容易的就能獲取到目標企業的IT環境和組織架構的重要信息。

第2階段，進入點：利用電子郵件、即時通信軟件、社交網絡或是應用程序漏洞找到進入目標網絡的大門。一項研究指出，在87%的組織中，會有網絡用戶點擊黑客安排的網絡鏈接,這些惡意鏈接都是精心設計的APT社交工程的誘餌。

第3階段，命令與控制 (C&C 通信)：APT攻擊活動首先在目標網絡中找出放有敏感信息的重要計算機。然后，APT攻擊活動利用網絡通信協議來與C&C服務器通訊，并確認入侵成功的計算機和C&C服務器間保持通訊。

第4階段，橫向擴展：在目標網絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具，將攻擊者權限提升到跟管理者一樣，讓他可以輕松的去訪問和控制關鍵目標(如：公司的郵件服務器)。

第5階段，資產/資料發掘：為確保以后的數據竊取行動中會得到最有價值的數據，APT會長期低調的潛伏。這是APT長期潛伏不容易被發現的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重復自動化的過程，而是會有人工的介入對數據做分析，以做最大化的利用。

第6階段，資料竊取：APT是一種高級的、狡猾的伎倆，高級黑客可以利用APT入侵網絡、逃避“追捕”、悄無聲息不被發現、隨心所欲對泄露數據進行長期訪問，最終挖掘到攻擊者想要的資料信息。數據泄露的代價對公司業務和資金的損失是極其慘重的，比如RSA就花了六千六百萬美金來補救因內部網絡數據竊取事件所造成的傷害。

有關APT攻擊的5個疑惑

在這幾年里，APT攻擊方式越來越流行，這引起了絕大多數企業的注意，同時也因為人們對APT攻擊的不熟悉，造成很多疑惑。趨勢科技整理了部分企業和在線收集的問題，并對提問概率最多的5個問題作出了有針對性的回答：

Q1：只有APT 會造成資料外泄事件?

TM：資料外泄事件的成因有很多，有些數據外泄事件是因為疏忽或是惡意的內部人員竊取所造成的。

Q2：APT是單一事件嗎?

TM：APT應該被視為一連串的攻擊活動，而非單一事件。同時，APT會利用各種方法不停的嘗試，直到達到目的為止。

Q3：APT是用來獲取預先設定目標的檔案或信息嗎?

TM：雖然攻擊者可能知道他們想竊取哪些信息，但他們還是需要先隱藏自己，然后進行橫向擴展，好來找出所需的特定檔案。

Q4：錢是APT攻擊活動背后的唯一動機 ?

TM：金錢并不是攻擊者的唯一目的。當APT攻擊活動針對特定目標時，更多時候是做網絡間諜戰或破壞活動。

Q5：一般的信息安全解決方案對于APT有作用嗎?

TM：對抗APT攻擊活動沒有萬靈丹，只能通過定制化的偵測機制來監控你的網絡，才可以有效地降低風險。同時，針對數據泄漏，趨勢科技提醒廣大企業用戶，越是敏感的數據，加上越多人的經手，將會導致越大的外泄風險。