在之前的文章中(APT攻擊背后的秘密：攻擊性質及特征分析;攻擊前的"敵情"偵察;攻擊時的武器與手段;攻擊時的漏洞利用;攻擊時的命令和控制)，我們已經了解了APT攻擊的特征、"敵情"偵察、攻擊的武器和手段、漏洞利用以及攻擊時的命令和控制。本文我們將探討APT攻擊后期的數據滲出。在這個階段，也是APT攻擊的最后階段，如果APT攻擊活動還沒有被阻止，那么數據很可能即將被泄漏出去。

數據滲出是APT攻擊的最后一步，如果攻擊者完成這一步，你企業將面臨巨大損失。在目標數據被確定后，這些數據將被復制并通過C2通道移出網絡，或者可能被復制到網絡中的另一區域，然后再被移出。從這一點來看，企業應該容易發現被動攻擊和有針對性攻擊。

正如前面提到的，被動攻擊動靜很大，分層防御措施很容易發現這種攻擊。另一方面，有針對性攻擊完全相反。

有針對性攻擊活動背后的攻擊者會盡可能保持低調，所以不可能出現大規模數據轉儲。在有針對性攻擊中，我們會看到數據偽裝成正常流量通過C2通道離開網絡。

在前面C2文章中，我們談到了機會攻擊通常會利用有著不良聲譽的通信信道。對于每個感染的主機，攻擊者會使用了相同的容易識別的通道。

這種機會攻擊會將數據滲出到其他國家的數據中心的服務器，當地法律可能沒有禁止這種數據使用。在這些情況下，你不要指望ISP提供幫助。所以，如果你不阻止數據離開網絡，即使你發現數據的滲出，這種信息從法律上看也沒多大用處。

有針對性攻擊會攻擊合法服務器來存儲數據。在很多情況下，受感染的服務器管理員可能不知道他們正在托管不屬于自己的數據，而當他們意識到有什么不對勁時，攻擊者已經早已離去。

在滲出階段，最好的防御措施就是感知。你需要知道哪些數據進出你的網絡，監控出站流量和入站流量都很重要。

DLP解決方案也可以用于應對滲出階段。如果配置得到，DLP產品可以幫助監控網絡流量，并控制流量。它們能夠發現未經授權的加密，被動和有針對性攻擊會利用加密來隱藏通信。還能夠發現異常流量模式。

另外，監控用戶賬戶活動也可以作為防御措施，有些合法賬戶可能出現異常活動。

在C2階段使用的防御措施同樣可用于滲出階段，包括根據IP地址、IPS和IDS系統(可以調整為監控所有階段的活動)以及應用防火墻規則(控制哪些程序允許發送流量到外部)阻止訪問。這些規則還可以應用到工作站或網段。

假設你捕捉到滲出過程，日志記錄將成為事件響應的關鍵資源，因為日志能夠確定發生了什么、如何發生等。通常情況下，在被動或有針對性攻擊中，確定攻擊者是很重要的，但實際上這是不可能的，這個問題我們主要是靠猜測而不是事實。

無論采用何種防御措施，最好的辦法是在事故發生前阻止事故。這正是澳大利亞信號理事會(ASD)的主要工作，其網絡不斷有攻擊者試圖訪問敏感信息。ASD采用了四種防御措施，并指定它們作為其網絡的強制性要求。這四個強制性措施包括：

1. 應用程序白名單

2. 第三方軟件補丁管理

3. 操作系統補丁管理

4. 權限管理(限制使用域或本地管理員權限的用戶數量)

在本系列文章的開始，我們探討了有針對性攻擊和被動攻擊的目的的區別，以及這些攻擊者的總體目標。工具、戰略和程序并不重要。你的企業更有可能成為機會攻擊的受害者，而不是受民族國際資助的有針對性攻擊的受害者。

應對這兩種攻擊的最好辦法就是分層防御。感知和可視性是快速反應以及減少損失的關鍵。雖然持續性攻擊活動最終會成功，但我們可以提高攻擊者的難度，以及減少損失。關鍵是要權衡風險，制定符合企業需求的安全計劃，不要恐懼APT。