高級持續性威脅(Advanced Persistent Threat,APT),威脅著企業的數據安全。APT是黑客以竊取核心資料為目的,針對客戶所發動的網絡攻擊和侵襲行為,是壹種蓄謀已久的“惡意商業間諜威脅”。這種行為往往經過長期的經營與策劃,並具備高度的隱蔽性。APT的攻擊手法,在於隱匿自己,針對特定對象,長期、有計劃性和組織性地竊取數據,這種發生在數字空間的偷竊資料、搜集情報的行為,就是壹種“網絡間諜”的行為。
APT入侵客戶的途徑多種多樣,主要包括以下幾個方面。
——以智能手機、平板電腦和USB等移動設備為目標和攻擊對象繼而入侵企業信息系統的方式。
——社交工程的惡意郵件是許多APT攻擊成功的關鍵因素之壹,隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從壹些受到APT攻擊的大型企業可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛壹開始,就是針對某些特定員工發送釣魚郵件,以此作為使用APT手法進行攻擊的源頭。
——利用防火墻、服務器等系統漏洞繼而獲取訪問企業網絡的有效憑證信息是使用APT攻擊的另壹重要手段。
總之,高級持續性威脅(APT)正在通過壹切方式,繞過基於代碼的傳統安全方案(如防病毒軟件、防火墻、IPS等),並更長時間地潛伏在系統中,讓傳統防禦體系難以偵測。
“潛伏性和持續性”是APT攻擊最大的威脅,其主要特征包括以下內容。
——潛伏性:這些新型的攻擊和威脅可能在用戶環境中存在壹年以上或更久,他們不斷收集各種信息,直到收集到重要情報。而這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利,而是把“被控主機”當成跳板,持續搜索,直到能徹底掌握所針對的目標人、事、物,所以這種APT攻擊模式, 實質上是壹種“惡意商業間諜威脅”。
——持續性:由於APT攻擊具有持續性甚至長達數年的特征,這讓企業的管理人員無從察覺。在此期間,這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段,以及滲透到網絡內部後長期蟄伏。
——鎖定特定目標:針對特定政府或企業,長期進行有計劃性、組織性的竊取情報行為,針對被鎖定對象寄送幾可亂真的社交工程惡意郵件,如冒充客戶的來信,取得在計算機植入惡意軟件的第壹個機會。
——安裝遠程控制工具:攻擊者建立壹個類似僵屍網絡Botnet的遠程控制架構,攻擊者會定期傳送有潛在價值文件的副本給命令和控制服務器(C&C Server)審查。將過濾後的敏感機密數據,利用加密的方式外傳。