網絡安全，尤其是Internet互聯網安全正在面臨前所未有的挑戰，這主要就是來自于有組織、有特定目標、持續時間極長的新型攻擊和威脅，國際上有的稱之為APT(Advanced Persistent Threat，高級持續性威脅)攻擊，或者稱之為“針對特定目標的攻擊”。這些攻擊統稱為新型威脅。

一般認為，APT攻擊就是一類特定的攻擊，為了獲取某個組織甚至是國家的重要信息，有針對性地進行的一系列攻擊行為的整個過程。APT攻擊利用了多種攻擊手段，包括各種最先進的手段和社會工程學方法，一步一步的獲取進入組織內部的權限。APT往往利用組織內部的人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續性，甚至長達數年。這種持續體現在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網絡內部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。

對于這些單位而言，盡管已經部署了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設備，也包括了將各種單一安全設備整合起來的管理平臺，而防御體系也可能已經涵蓋了事前、事中和事后等各個階段。但是，這樣的防御體系仍然難以有效防止來自互聯網的入侵和攻擊，以及信息竊取等新型威脅。

新型威脅的綜合分析

APT攻擊主要呈現以下技術特點：

1、 攻擊者的誘騙手段往往采用惡意網站，用釣魚的方式誘使目標上鉤。而企業和組織目前的安全防御體系中對于惡意網站的識別能力還不夠，缺乏權威、全面的惡意網址庫，對于內部員工訪問惡意網站的行為無法及時發現;

2、 攻擊者也經常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發件人。而企業和組織現有的郵件過濾系統大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，傳統的郵件內容分析也難以奏效;

3、 還有一些攻擊是直接通過對目標公網網站的SQL注入方式實現的。很多企業和組織的網站在防范SQL注入攻擊方面缺乏防范;

4、 初始的網絡滲透往往使用利用0day漏洞的惡意代碼，而企業和組織目前的安全防御/檢測設備無法識別這些0day漏洞攻擊;

5、 在攻擊者控制受害機器的過程中，往往使用SSL連接，導致現有的大部分內容檢測系統無法分析傳輸的內容，同時也缺乏對于可疑連接的分析能力;

6、 攻擊者在持續不斷獲取受害企業和組織網絡中的重要數據的時候，一定會向外部傳輸數據，這些數據往往都是壓縮、加密的，沒有明顯的指紋特征，這導致現有絕大部分基于特征庫匹配的檢測系統都失效了;

7、 還有的企業部署了內網審計系統、日志分析系統，甚至是安管平臺，但是這些更高級的系統主要是從內控與合規的角度來分析事件，而沒有真正形成對外部入侵的綜合分析。由于知識庫的缺乏，客戶無法從多個角度綜合分析安全事件，無法從攻擊行為的角度進行整合，發現攻擊路徑。

因此，在APT這樣的新型威脅面前，大部分企業和組織的安全防御體系都失靈了。保障網絡安全亟需全新的思路和技術。

新型威脅的最新技術發展動向

新型威脅自身也在不斷發展進化，以適應新的安全監測、檢測與防御技術帶來的挑戰。以下簡要分析新型威脅采取的一些新技術。

精準釣魚。精準釣魚是一種精確制導的釣魚式攻擊，比普通的定向釣魚(spear phishing)更聚焦，只有在被攻擊者名單中的人才會看到這個釣魚網頁，其他人看到的則是404 error。也就是說，如果你不在名單之列，看不到釣魚網頁。如此一來，一方面攻擊的精準度更高，另一方面也更加保密，安全專家更難進行追蹤。

高級隱遁技術。高級隱遁技術是一種通過偽裝和/或修飾網絡攻擊以躲避信息安全系統的檢測和阻止的手段。高級隱遁技術是一系列規避安全檢測的技術的統稱，可以分為網絡隱遁和主機隱遁，而網絡隱遁又包括協議組合、字符變換、通訊加密、0day漏洞利用等技術。

沙箱逃避。新型的惡意代碼設計越來越精巧，想方設法逃避沙箱技術的檢測。例如有的惡意代碼只有在用戶鼠標移動的時候才會被執行，從而使得很多自動化執行的沙箱沒法檢測到可疑行為。有的惡意代碼會設法欺騙虛擬機，以逃避用虛擬機方式來執行的沙箱。#p#

新型威脅的應對之策

一、總體思路

2012年8月，RSA發布了著名的報告——《當APT成為主流》。報告提及了現在組織和企業中現有的安全防護體系存在一些缺陷，導致很難識別APT攻擊。現有的防護體系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和組織結構，以及工作流程等等都存在不足。報告指出，應對APT需要采取一種與以往不同的信息安全策略及方法。該方法更加注重對核心資產的保護，以數據為中心，從檢測威脅的角度去分析日志，注重攻擊模式的發現和描述，從情報分析的高度來分析威脅。

報告提出了7條建議：

1、 進行高級情報收集與分析。讓情報成為戰略的基石。

2、 建立智能監測機制。知道要尋找什么，并建立信息安全與網絡監控機制，以尋找所要尋找之物。

3、 重新分配訪問控制權?？刂铺貦嘤脩舻脑L問。

4、 認真開展有實效的用戶培訓。培訓用戶以識別社會工程攻擊，并迫使用戶承擔保證企業信息安全的個人責任。

5、 管理高管預期。確保最高管理層認識到，抗擊高級持續性攻擊的本質是與數字軍備競賽戰斗。

6、 重新設計IT架構。從扁平式網絡轉變為分隔式網絡，使攻擊者難以在網絡中四處游蕩，從而難以發現最寶貴的信息。

7、 參與情報交換。分享信息安全威脅情報，利用其他企業積累的知識。

Verizon發布的《2013年數據破壞調查報告》中則更加簡明扼要的概括了應對APT的最高原則——知己，更要知彼，強調真正的主動安全是料敵先機，核心就是對安全威脅情報的分析與分享。

二、技術手段分析

從具體的技術層面來說，為了應對APT攻擊，新的技術也是層出不窮。

從監測和檢測的角度，為了識別APT，可以從APT攻擊的各個環節進行突破，任一環節能夠識別即可斷開整個鏈條。

根據APT攻擊過程，我們可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、識別僵尸網絡(C&C)通訊、監測網絡數據滲出等多個環節入手。

而不論從哪個環節入手，都主要涉及以下幾類新型技術手段：

基于沙箱的惡意代碼檢測技術。要檢測惡意代碼，最具挑戰性的就是利用0day漏洞的惡意代碼。因為是0day，就意味著沒有特征，傳統的惡意代碼檢測技術就此失效。沙箱技術通俗的講就是構造一個模擬的執行環境，讓可疑文件在這個模擬環境中運行起來，通過可疑文件觸發的外在行為來判定是否是惡意代碼。

沙箱技術的模擬環境可以是真實的模擬環境，也可以是一個虛擬的模擬環境。而虛擬的模擬環境可以通過虛擬機技術來構建，或者通過一個特制程序來虛擬。

基于異常的流量檢測技術。傳統的IDS都是基于特征(簽名)的技術去進行DPI分析，有的也用到了一些簡單DFI分析技術。面對新型威脅，DFI技術的應用需要進一步深化?；贔low，出現了一種基于異常的流量檢測技術，通過建立流量行為輪廓和學習模型來識別流量異常，進而識別0day攻擊、C&C通訊，以及信息滲出。本質上，這是一種基于統計學和機器學習的技術。

全包捕獲與分析技術。應對APT攻擊，需要做好最壞的打算。萬一沒有識別出攻擊并遭受了損失了怎么辦?對于某些情況，我們需要全包捕獲及分析技術(FPI)。借助天量的存儲空間和大數據分析(BDA)方法，FPI能夠抓取網絡中的特定場合下的全量數據報文并存儲起來，進行歷史分析或者準實時分析。通過內建的高效索引機制及相關算法，協助分析師剖絲抽繭，定位問題。

信譽技術。信譽技術早已存在，在面對新型威脅的時候，它可以助其他檢測技術一臂之力。無論是WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫，還是威脅情報庫，都是檢測新型威脅的有力武器。而信譽技術的關鍵在于信譽庫的構建，這需要一個強有力的技術團隊來維護。

綜合分析技術。所謂綜合分析，就是在前述所有技術之上的，并且涵蓋傳統檢測技術之上的，一個橫向貫穿的分析。我們已經知道APT攻擊是一個過程，是一個組合，如果能夠將APT攻擊最多環節的信息綜合到一起，有助于確認一個APT攻擊行為。綜合分析技術要能夠從零散的攻擊事件背后透視出真正的持續攻擊行為，包括組合攻擊檢測技術、大時間跨度的攻擊行為分析技術、態勢分析技術、情境分析技術，等等。

人的技能。最后，要實現對新型攻擊的防范，除了上述新的監測/檢測技術之外，還需要依靠強有力的專業分析服務做支撐，通過專家團隊和他們的最佳實踐，不斷充實安全知識庫，進行即時的可疑代碼分析、滲透測試、漏洞驗證，等等。安全專家的技能永遠是任何技術都無法完全替代的。