“只有兩種類型的企業：那些知道他們已經受到攻擊的，還有那些不知道自己被攻擊的。”——著名計算機安全專家D.Alperovitch

現今，APT類攻擊最為難以防御，也不易被提前察覺。據統計，國際上明確未曾遭遇APT類攻擊的企業僅為11%。《中國互聯網信息安全地下產業鏈調查報告》編撰者之一清華大學信息網絡工程研究中心博士、副研究員諸葛建偉表示，目前國內地下黑色產業鏈里的刷庫就是一種APT類的威脅，但在公開的地下黑市里與APT相關的信息比較難以區分，APT類攻擊都比較隱蔽，所以更傾向于隱秘的單線聯系，難于監控。另外，現在許多經受了安全產品“考驗”的入侵技術，正在逐漸被應用到APT類攻擊里。

“低調”的APT攻擊

2012年最火的APT類攻擊“火焰(Flame)” 利用了MD5的碰撞漏洞，偽造了合法的數字證書，冒充正規軟件實現了欺騙攻擊。據趨勢科技硬件產品經理林義軒介紹，APT的攻擊途徑主要分為四種：

1、社交郵件、微博等;

2、針對系統漏洞的攻擊，比如防火墻漏洞、服務器漏洞等;

3、通過移動設備進行的間接攻擊;

4、另外則是通過相關人員的電腦進行破壞。

現在社交郵件是最為常見的攻擊方式，利用系統漏洞比較難于實現。而Flame的攻擊技術含金量很高，相信其攻擊方法將很快被其他攻擊者模仿利用。Flame里面創新的攻擊途徑，讓攻擊者看到了更加豐富的攻擊方式，獲得更多的“啟發”。

APT類攻擊具有“不讓你看到”的特點，它會千方百計躲避各類安全監測。APT主要發起低頻攻擊，十分“低調”：APT具有高隱蔽性，低能見度的特性。而且APT類攻擊很聰明，只會去偷高附加值的數據。

由細微處發現APT破綻

現在還沒有針對APT的特效藥，不過攻擊者為了在受攻擊目標內部建立更多的立足點，會不停發送各類社交工程郵件，不斷進行欺騙攻擊，而這就為TDA提供了提前發現攻擊趨勢的用武之地。APT攻擊為了搜尋到具有價值的計算機，需要不停進行跳板式攻擊，當其通過交換機時就很容易被TDA所發現。TDA是一個網絡設備，所以可以對各類網絡活動進行監測，當發現異常網絡行為——對外擴散、回復通訊(肉雞上線)——時就可以及時發現。

TDA面對APT類攻擊，通過沙盒模擬分析系統，來檢測是否存在惡意攻擊。對于加密包，TDA會先將加密包截留下來特別予以監測，當其發起攻擊時就能當場捕獲。

APT攻擊的出現，需要面對大數據的安全分析問題。大數據，簡單來說就是海量數據，而APT是低頻攻擊，所以要采用海底撈針的方式對大數據進行分析。這需要通過交叉分析的方式進行針對大數據的安全分析：通過對網絡日志、服務器日志等進行關聯性分析，從中發現潛藏的APT攻擊。APT在進行感染行為時，主要采用惡意代碼感染攻擊方式。