高級持續性威脅(ATP)，是當今企業面對的最隱蔽網絡攻擊之一。大名鼎鼎的震網蠕蟲，2014年索尼影業被黑，2015 年的 Hacking Team，前不久NSA的Equation……

那么，APT會影響到你的公司嗎?信息系統審計與控制協會(ISACA)的《2015 APT意識研究》發現：74%的受訪者認為他們會被APT盯上，28%已經被攻擊了。問題在于，APT在本質上，非常的復雜高端。它們本來就具備隱秘潛伏逃脫檢測的屬性，可以悄悄在網絡中傳播數周乃至數月之久。

似乎想要緩解APT風險意味著要部署非常復雜的網絡安全措施，大部分普通企業不太能夠實現的樣子。事實上，并非如此。回歸基礎就能大大有助于緩解APT風險：理解這種攻擊策劃和部署的基礎，弄清自家公司網絡結構，便可助力阻止此類攻擊。簡言之，就是要理解怎樣減小暴露在惡意黑客眼前的攻擊界面

理解APT結構

無論多復雜，所有APT攻擊總是遵循類似的流程：

1. 偵察

攻擊者采用多種技術描繪公司網絡拓撲，摸清安全策略和應用，發現可供切入的遠程訪問功能的信息收集過程。

公開渠道情報(OSINT)：掃描對外開放服務中的漏洞;

人類來源情報(HUSINT)：從關鍵員工身上收集訪問信息;

踩點：識別出公司使用的軟件或資源版本，用旗標獲取、SNMP(簡單網絡管理協議)掃描和區域復制等技術描繪出網絡基礎設施的概況。

2. 漏洞利用投放

一旦目標網絡的合適切入點被找到，攻擊者便會投放惡意工具或應用程序來滲透網絡。可供選擇的攻擊方法包括：電子郵件附件、所謂的‘水坑’攻擊——控制目標很可能訪問的一個已有網站，或者直接在受感染U盤上物理載入漏洞利用程序。

3. 探測和橫向擴展

成功進入目標網絡之后，攻擊者的下一個目標就是在網絡中橫向移動，最終染指有價值的公司數據。不過，這些數據通常都在另一臺計算機系統上，因此，攻擊者需要找到一條通路。橫向移動就是APT持續性的立足點。探測需要時間，個人用戶會在這段時間里很有可能會重啟系統，修改他們的安全簽名，讓攻擊者難以再次訪問他們的機器。

因此，攻擊者的理想目標，是在個人計算機上直接部署能讓他們在需要的時候可以重新登錄系統的軟件，最好是用戶重啟系統或者打了補丁也可以重新登錄。達成這一愿望最常見的方法，是同遠程管理工具(RAT)——遠程故障診斷或幫助臺功能所用的同類型工具。RAT的安裝讓攻擊者得以在目標機器上留下后門，想登錄就登錄。

4. 滲漏

最終，攻擊者抽取到屬意的有價值信息，或許是通過HTTP混入到良性流量中，或許是通過HTTPS等將之加密以便難以被識別。

縮減網絡攻擊界面

雖然阻止攻擊者實施APT第一階段探測很難——畢竟很多OSINT掃描技術都沒什么秘密可言，防止他們在網絡內橫向移動搜索有價值數據還是可能的，只要遵循一些最基本的原則就行：

1. 網絡分段

根據使用模式和所處理的數據類型，將平面化的內部網絡分割成多個區域。網絡分段可防止APT從一臺“踏腳石”機器跳到另一臺。

2. 各區域間設置防火墻過濾流量

“咽喉點”——比如防火墻，必須布置在各區域之間，過濾進進出出的流量。換句話說，內部、橫向的流量通道上都必須安置有防火墻，而不僅僅是在網絡邊界上。

3. 防火墻必須有嚴格的安全策略

Gartner研究表明：99%的防火墻滲漏都是由防火墻錯誤配置引起的，不關防火墻漏洞的事兒。很明顯，防火墻絕對應該被正確而合理地配置，要能分析并封鎖觸發APT警報的那類內部通信。

在對自身網絡進行分段時，需要考慮以下2種所有網絡都應劃分成的區域類型。首先，識別并定義敏感數據區，包含處理和存儲支付卡及信用卡信息、員工記錄、公司財務、知識產權和管理數據的系統。其次，識別并定義包含人可接觸到的臺式機、筆記本、平板和智能手機的人類用戶區域。也許你已經劃分了無線接入區，但無線接入的臺式機也應被劃分出來。因為APT的第一攻擊點通常都是臺式機，這個分割就能防住APT的橫向移動了。

以上幾點聽起來相當簡單，因為本來就很簡單。應銘記的重點是：物理APT有多高端，它都是在你的地盤運作。發現自己網絡中的APT跡象或許很具挑戰性，但只要智慧運用安全基本原則，擋住橫向探索，阻住APT的進擊軌道，還是有可能的。