近幾年，安全威脅發生了很大變化，提到新興威脅APT攻擊不是什么新鮮事。隨著IT發展，攻擊者可以通過APT攻擊得到更多的有價值的資產。

本文中，南京瀚海源CEO方興對新興威脅攻防的本質進行了剖析，并針對APT攻擊進行了深度解讀。

新興威脅攻防核心本質

◆新興威脅的核心

新興威脅的核心是網絡間諜行為，和傳統間諜行為的最大區別是把傳統手段和數字攻擊手段相結合。攻擊者可使用針對數字系統的攻擊手段，獲得數字資產或通過數字系統可控的資產。

其實，傳統間諜手段很早就已經存在了，發展到現在已經形成了攻守平衡的形勢。現在，為什么要把數字手段融合進去呢?因為我們缺少在數字手段上的對抗檢測技術，導致攻擊者使用數字手段的攻擊比使用傳統間諜手段時成本更低。從攻擊者角度來講，因為他可以用低成本低的攻擊手法拿到更多數字，所以很自然的把新技術融合在傳統間諜手段當中一起來獲得更高的收入。

◆解讀新興威脅APT

目前，針對新興威脅APT攻擊我們可以這樣解讀APT：

A ：

1.高價值資產的嚴密防護能力下，只有復雜攻擊路徑才能達到繞過檢測和最終目標觸發。

2.這一系列要求必須多種攻擊向量組合和高技術能力與手段。

P ：

1.攻擊難度、復雜路徑，技術手段需要時間。

2.攻擊價值與攻擊難度需要不斷嘗試但不會輕易放棄。

T ：

1.攻擊一旦成功將造成巨大損失但難以發現。

2.攻擊進入后，很難徹底清除。

◆APT攻擊特性

APT攻擊主要呈現以下特性：

可利用性：達到最終目標的路徑設計 ;讓路徑上的每個受害者都愿意或可能觸發;受害者觸發后穩定植入攻擊者惡意代碼以實現攻擊者意圖;惡意代碼行為可滿足攻擊者目的。

隱蔽性：受害者觸發無感覺;受害者觸發時主機或網絡環境設備檢測不到;其后惡意代碼行為讓受害者主機或網絡環境設備檢測不到異常或檢測到異常后無法發現真實原因。

抗追查：發現攻擊后難以追查攻擊源頭;追查到攻擊源頭難以確定攻擊者;確定到攻擊者也可以否認。

潛伏性：可控攻擊行為;深度滲透在部分清除后可以恢復。

針對性：高價值資產;定向攻擊路徑。

◆APT攻擊核心技術環節與手段

從上圖我們分析可知，從攻擊角度上，攻擊者首先進行信息收集，根據信息做好入侵準備，然后通過社會工程吸引，注入木馬等手段實現信息入侵，實現實時入侵，控制內網系統甚至是資產后，進行破壞或者進行有價值資產的竊取。整個攻擊過程的核心技術主要有：漏洞利用、木馬種植，基于供應鏈植入以及后門植入，種植后攻擊者通過隱蔽的通道竊取數據。

常見的技術概念主要有：SHELLCODE、EXP、漏洞、木馬、后門、隱蔽通道。

未來，針對APT攻擊，作為安全防護人員首先要考慮的就是以上幾個技術點。當然短期內很難用技術對抗傳統間諜手段，但是我們只要能夠把技術手段抬高到一定門檻，攻擊者在APT新興威脅上就不再占有這種成本的優勢。

所以在以后的安全防護道路上，我們需要新的技術手段。#p#

新興威脅攻防對抗思考與展望

◆傳統安全漏洞利用檢測攻防

針對傳統安全漏洞體系檢測主要側重IDS/IPS與增強殺毒兩個方向，傳統的檢測點包含NDAY漏洞觸發特征簽名庫識別與固定利用代碼識別，它們都存在一定的漏洞誤報率或者其他的問題。

方興表示，現在的新型檢測技術除了追求原來NDAY漏洞觸發簽名，還有深度內容識別。在他看來未來的APT還有很多新型的技術可以進行對抗(見下圖)，比如：對抗NDAY漏洞簽名，在深度層面可以不斷變化編碼，進行加密。

展望漏洞利用(SHELLCODE)檢測對抗

◆傳統木馬檢測攻防

傳統的木馬檢測方式包含：木馬簽名庫識別惡意URL來源; 針對進程 、文件 、應用入口點的本地異常點檢查;惡意功能和行為識別(本地)。

但是以上檢測面臨很多問題，在惡意工程上可以通過信任程序，專門加載底層控制繞過誤報、人工識別。未來我們需要更多新型的對抗木馬的技術，在此，方興帶我們展望了這場木馬對抗戰的未來。

展望木馬檢測對抗

◆傳統隱通道檢測攻防

在傳統隱蔽通道攻防上，主要是通過已知的惡意IP或者URL識別來實現的，或者是審計設備識別敏感關鍵字，識別已知的私有協議，或者是通過流量和網絡行為異常來識別。

目前，我們面臨著攻擊者未知手段的新型威脅，未來該如何對抗隱蔽通道攻擊呢?

展望隱通道檢測對抗

綜上所述，方興表示，在他看來“攻防對抗沒有終結點，始終是人和人的對抗，新興對抗手段有些已經出現，還有很多沒有出現，但是作為防護者，心里要很清楚即使有了新型技術，APT也不一定有終結點。未來，不僅在技術上要和攻擊者做對抗，也要在更高的層次去找到好的解決方法。”#p#

新興威脅應對思考

針對新興威脅的應對，方興做了以下小結：

◆多維度全檢測體系：針對攻擊者的每個手段建立檢測點，形成網狀檢測體系，即使攻擊者能逃脫一兩個檢測點，但不一定能夠逃脫全部檢測點。

◆入侵全生命周期覆蓋：APT攻擊是由多個環節多個攻擊手段組合而成。針對每個環節每個手段形成縱深檢測體系，可以最大限度發現APT攻擊，提高攻擊者門檻 。

◆多維度全生命周期體系：APT攻擊每個檢測手段都因為原理性能易用性誤報率等因素都存在對抗技術。針對每個APT攻擊手段手段用多種檢測方法形成多維度檢測體系，可以最大限度檢測APT攻擊手段，并且縱深覆蓋，形成多維度網狀檢測體系。

◆縱深、多維度、端、云協同感知與大數據挖掘的威脅感知：通過智能事件關聯進行攻擊確認，發現可疑事件，經過數據深度內容可疑分析和云端數據分析形成檢測體系。

云端數據分析：攻擊共享、攻擊著歸i組特征、攻擊者資源特征。

智能事件關聯分析：攻擊確認、事件關聯可疑發現、因果溯源。

◆協同運維：APT攻擊是人和人的斗智斗勇，必須有專業的團隊分析響應才能應對APT。

最后，方興表示：“APT是人和人在數字空間的智力對抗，所以一定是沒有終極的辦法的，因為人是活的，手段是無窮的，檢測與防御還需要考慮成本、性能、用戶體驗、用戶感知等一系列問題。所以APT檢測產品，需要的是在以上限制條件下最大程度提高攻擊者成本和門檻，降低損失，形成一個新的攻守平衡線。”