題記：高持續性威脅（APT）是以商業和政治為目的的一個網絡犯罪類別。APT需要長期經營與策劃，并具備高度的隱蔽性，才可能取得成功。這種攻擊方式往往不會 追求短期的經濟收益和單純的系統破壞，而是專注于步步為營的系統入侵，每一步都要達到一個目標，而不會做其他多余的事來打草驚蛇。

2010年，Google對大眾承認，公司服務器遭到嚴重攻擊。經過調查發現，駭客在收集Google員工的個人信息之后，將精心構筑的惡意代碼通過IE瀏覽器傳輸到受害人的電腦上執行。沒有讓任何防毒軟件察覺。

在監聽到Google雇員平時的服務器訪問密碼之后，登錄服務器，不斷獲得各種敏感信息。神不知，鬼不覺。

無獨有偶，緊接著在2011年，知名安全公司RSA的SecurID被駭客竊取，所用方式也如出一轍。

這兩個被踢爆的APT攻擊事件，真實的反映了APT高持續性威脅在業界暗流涌動的狀況。更多尚未暴露的APT攻擊，仍然在地下隱秘的活動著。而傳統的防毒軟件、IPS、防火墻，對這類危險的防御表現欠佳。

在最近網絡上流行的一篇文章——《中國黑客傳說：游走在黑暗中的精靈》中也反映了類似的情況，很多公司的內網、很多大型數據中心、很多城市的水電煤等基礎設施……都可能被黑暗中的入侵者悄悄掌控著，他們將APT玩的爐火純青，享受著無與倫比的快感。

APT攻擊大多有著3個明顯特點。

1、  前期的目標信息收集

2、  可繞過常規防護的EXP攻擊

3、  有意的避免大規模擴散，鎖定固定目標。

不管是為了經濟目的、政治目的，還是成就感，這些攻擊行為都是大型企業和機構所不能容忍的。

目前常規的防御手段也比較典型。

1、  UTM統一威脅管理

2、  IPS /IDS入侵防護/檢測系統

3、  企業版反病毒毒軟件

4、  安全日志管理系統

5、  VPN/SSL/SSH加密通信

6、  漏洞掃描器

7、  流量清洗及過濾產品

以上安全產品各有優勢，但彼此協作并不多，容易各自為戰，缺少智能的分析和判斷能力。于是，像McAfee、RSA之類的一些安全服務提供商開始在這些安全產品之上研究出“重型武器”——SIEM和SOC類安全信息管控產品。這類產品具有智能分析和判斷功能，可以有效增強客戶對APT攻擊的發現和鎖定能力。之所以將這類安全產品成為“重型武器”，是因為這類安全產品是相輔相成的立體式防御架構，必須有很多安全工具與其配套，經過細致的規劃和部署才能達到最佳效果。

目前在中國國內，SIEM的普及率并不高，而對應的知名品牌也比較少。據悉，國際安全公司McAfee將在2013年第二季度在華發布一款適用于中國客戶的SIEM安全信息管理系統，可以與 McAfee的ePO、DLP、IPS等產品聯動，以應對日益猖獗的APT攻擊。在Gartner在2012年5月的報告中顯示，他們的SIEM在國際排名中位居三甲之列，美國國防部也是其客戶之一。