APT攻击概念说明及如何防御

APT攻击概念说明及如何防御
论起近年来最恐怖的网络攻击手段，非APT攻击莫属。

其目标明确、深度潜伏、长期持续的特点，使得它成为互联网世界挥之不去的噩梦，极大地威胁着网络安全。

到底它是怎样一种幽灵般的存在？下面就为你解密。

什么是APT攻击
APT是一种高级持续性威胁。

通过长期潜伏找到有价值的特定目标，利用网络中受信的应用程序漏洞，发起持续性网络攻击，窃取核心资料或篡改数据。

形象的说，APT攻击就是一种蓄谋已久的恶意商业间谍威胁。

APT攻击的特点
潜伏性
APT具有极强的隐蔽能力。

攻击者往往事前精心策划，在用户网络中进行数月甚至一年以上的潜伏，大量收集用户业务流程和目标系统的精确信息，彻底掌握攻击目标的情况。

针对性
在彻底掌握目标的精确信息后，寻找漏洞，构造专门代码，对锁定的目标发送恶意链接、邮件等程序，攻击时只针对一个目标，避免大量散播引起注意。

持续性
APT具有持续性，有些攻击甚至长达数年。

在不被察觉的时间里，黑客会不断尝试各种攻击手段。

甚至被阻断后，攻击者也不会消失，会采用全新的招数再次发起攻击。

APT攻击的过程
首先，攻击者会对受害者进行初始感染，一般有三种方式。

1、给组织内部的收件人发送恶意软件邮件；2、攻击者会感染一个组织中用户经常通过DNS访问的网站；3、攻击者会通过一个直连物理连接感染网络，如感染病毒的U盘。

然后，下载真实的APT。

一旦进入组织内部，恶意软件执行的第一个重要操作就是使用DNS 从一个远程服务器上下载真实的APT。

之后，传播和连回攻击源。

一旦下载和安装之后，APT会禁用运行在已感染计算机上的反病毒软件或类似软件。

然后，APT通常会收集一些基础数据，使用DNS连接一个命令与控制服务器，接收下一步的指令。

最后，盗取有价值的数据。

攻击者可能在一次APT中发现数量达到TB级的数据。

如何防御APT攻击
因为APT攻击方式的独特和攻击手段的难以检测，对它的防护非常困难。

要想有效的防御APT攻击，需要从思想和技术上共同发力，双管齐下才能更好的防范。

从思想上来说，必须加强对员工安全意识的培训宣导。

禁止浏览危险网站；对来源不明的邮件或程序，禁止点击查阅；工作网络和家用网络严格隔离，禁止随意登录和文件互传。

从技术来说，必须考虑从不同角度协同解决。

从网络安全、终端安全、数据安全等全方面考虑。

而这一点，也得到了各领域企业的认同。

据调查，超过40%的用户更倾向于从不同角度协同来解决企业防护ATP攻击的问题。

另外，单从网络安全角度考虑来解决APT攻击问题的占24%，从数据安全角度考虑的占25%，从终端安全考虑的占10%。

为什么数据安全占据
了这么大百分比呢？信息安全的基础和核心在于数据安全。

所有的防护手段都是为保护数据安全这一目的服务的。

在最有效的APT防护调查中，防病毒、数据防泄密(DLP)、大数据安全分析、下一代防火墙、入侵检测都受到了用户的认可，63%的用户认为数据防泄漏软件对防护APT攻击最有效。

目前很多企业开始采用以KernelSec为代表的数据防泄漏方案，也证实了上面的调查结果。