APT网络攻击与防御策略探析

APT网络攻击与防御策略探析

陈晖

（贵州电网有限责任公司铜仁供电局贵州铜仁554300）

摘要：当前社会运行模式普遍呈现网络化发展态势，网络技术对国际政治、经济、文化、军事等领域发展产生了深远影响。网络无疆域性导致网络信息的跨国界流动，从而使信息资源日益成为重要生产要素和社会财富，信息掌握的多寡成为国家软实力和竞争力的重要标志。为确保竞争优势和国家利益，各国政府开始通过互联网竭尽所能收集情报信息。在此种背景下，全新的网络空间安全威胁开始出现，高级持续威胁(APT)攻击是其中最具威胁性的类型之一。

关键词：APT；网络攻击；防御策略

一、APT网络攻击的内涵及特点

APT即高级持续性威胁，指黑客针对特定目标以、窃取核心资料为目的所发动的网络攻击和侵袭行为，这种行为往往经过长期的经营与策划并具备高度的隐蔽性，是一种蓄谋已久的“恶意商业间谍威胁”。APT攻击对现有安全防护体系带来了巨大的挑战，成为所有信息安全从业人员重点关注的对象。在一些国家，APT攻击已经成为国家网络安全防御战略的重要环节，针对APT攻击行为的检测与防御被确定是整个风险管理链条中至关重要也是最基础的组成部分。APT的攻击手法在于隐匿攻击者的踪迹并针对特定对象进行长期、有计划性和组织性地渗透，直到成功窃取数据。通常具有如下特点：

1、攻击针对特定高价值目标。APT攻击通常带有很强的商业或政治目的，以窃取具备商业价值的信息或破坏目标系统为目的。大型互联网服务机构（如Google、Facebook、亚马逊）、金融机构（银行、证券）、政府机构及基础工业机构（电力能源）是APT攻击的重灾区。

2、攻击技术复杂多样。APT攻击的发起者象是一支配备了精良武器装备的特种部队，利用一切可能的防御漏洞围绕目标系统进行全方位精确打击，在整体攻击过程中通常会综合利用钓鱼、漏洞扫描、SQL注入、缓冲区溢出、暴力破解、加密传输等多种技术手段绕过目标系统的层层防线，从系统外围到核心区域逐步攻克目标。

3、潜伏性和持续性。发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索直到能彻底掌握所针对的目标人、事、物。在已经发生的典型APT攻击中，攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络坏境，搜集应用系统与业务流程中的安全隐患，定位关键信息的存储位置与通信方式，整体攻击过程甚至持续数年之久。

二、APT网络攻击的现状

1、网络间谍活动变得更加普遍化，这对高级持续性威胁活动的持续跟踪带来一些挑战。我们需要更加明确的区分和识别高级持续性威胁攻击，以及能够明确来源归属的攻击组织。而对于不能明确归属的APT威胁，需要依赖于持续的威胁跟踪和更多的数据证据佐证。

2、APT威胁的归属问题正在变得更加明显，其原因可能包括攻击者不断变化的攻击武器和使用更加匿名化的控制基础设施，以及引入的falseflag或刻意模仿的攻击战术技术，一些成熟而完善的公开渗透工具给攻击者带来了更好的选择。

3、360公开披露了两个新的针对中国境内的APT组织，以及多个针对中国境内频繁的APT威胁活动，可以看到随着我国在国际形势中的日益发展，地缘政治、外交形势等立场下高级持续性威胁将变得更加严峻。多次曝光的在野0day攻击的发现，展现了APT攻击者的技术能力储备和提升，威胁的攻击和防御变得更加白热化，APT威胁的防御和响应的时效性变得尤为重要。

4、威胁攻击者也在发掘一些新的攻击方式，也包括使用了部分“陈旧而古老”的技术特性，绕过或逃避威胁检测机制从而实施攻击，结合目标人员的安全意识弱点往往也能够取得不错的攻击效果。

三、APT网络攻击防御策略探究

1、对造成APT攻击事件的原因加以分析。APT攻击的发起者有着超群的智慧和丰富的经验，检测APT攻击必须密切关注攻击者所执行的所有刺探行为以及释放恶意代码的每一个细节，包括系统功能完整性、系统日志、命令与控制通道、0day安全风险、社会工程学手法、受害人、攻击活动频率等信息。对APT攻击的防御与传统的安全防护理念有所不同，APT攻防是一个对抗的过程，攻防双方都在不断更新自己的技术手段。而发展至今，应对APT的手段也是多种多样：黑白名单、动态检测技术、大数据分析、全流量数据审计等是目前应用较多的防御方式。

2、做好APT攻击防御的应对方案。在众多的APT防御手段中，动态检测技术是目前一种较为有效的检测手段，其可以记录样本运行后的所有行为，以此判断出是否是恶意的APT攻击代码。但这一技术也有其不足之处：有些高级的木马会做虚拟机检查，如果发现是虚拟机，则不会执行攻击行为，避免暴露自己。因此，动态检测技术也不是万能的，虚拟机环境不匹配，也无法诱导木马的攻击行为。由此，基于此硬件模拟的虚拟化动态检测技术应运而生，其能够模拟硬件的所有指令，让木马无法检测是一个虚拟环境，具有防木马反检测的能力。据了解这也是Fireeye采用的技术，而目前国内只有科来在应用该项技术。对于APT攻击而言，没有百分之百的安全防护手段，在攻击成功后，用户还必须转变思维，做到快速发现威胁，快速响应威胁，以实现发现防御APT。方案优势主要有：

2.1采用分布式部署、集中管理，为用户搭建私有安全云的管理平台，更符合国内对安全管理的需求。

2.2基于硬件模拟的动态分析技术，更能应对不断升级的木马反检测技术；且具备更强大的处理性能，单台分析后台能为用户提供同时并发运行40个虚拟机进行恶意样本检查，处理样本的能力是普通的8-10倍。

2.3基于行为异常的流量检测技术贯穿于整个解决方案，能够同时对攻击前、中、后的流量进行深入检查，发现有效的APT攻击线索。

2.4全流量数据审计，是APT分析的重要保障，也是对未知攻击分析取证的必要手段，海量数据的回溯分析能力，1TB数据的检索时间低于3秒钟，并可进行多维度关联分析，准确快速确定潜在威胁，并全面评估事件的危害。

3、科来APT攻击检测系统。这是一款专门面向APT高级持续性攻击行为，提供全方位检测、发现与防御的产品。APT攻击检测系统针对APT攻击的特点，为用户提供多视角的检测发现能力，及时发现针对客户的重要资产实施的多种形式的定向高级攻击，而这类攻击行为是传统安全检测系统无法有效检测发现。通过对高级网络攻击行为的发现，同时提供对攻击行为的拦截与阻断，帮助客户抵御网络攻击与渗透，保护客户的重要资产信息与基础设施免遭窃取与破坏。系统除了发现APT攻击行为，还能拦截和阻断攻击行为。

对于发现的执行恶意样本而发起的网络连接请求，或潜伏的木马外联网络通讯，进行有效的拦截与阻断，并能及时更新拦截规则，实现对APT攻击行为的有效防御。系统具有多种部署形式：单机和分布式都能很好的支持。分布式部署适合大型集团和需要对多网段进行全面监控和防御的客户。单机部署适合为只有单一网络出口的中小型客户提供对APT攻击的检测与防御。

结束语

尽管APT攻击已经呈愈演愈烈之势，但目前大部分的企业对APT攻击都停留在听说过的层面，目前市场急需专门应对APT的完整解决方案，而不单单是在传统安全产品上稍作改动的下一代安全产品。而放眼全球，APT攻击上升到国家网络空间对抗一定是不可避免的，网络空间战早已经打响，APT攻击是其中的主要方式之一。国外在网络安全方面非常注重投入和规划，并且拥有包括根域名服务器、操作系统、加密、芯片交换机、路由器等资源可利用。对于国内安全厂商来讲，在APT攻击防御的道路上，仍旧任重而道远。

参考文献

[1]宋彦清.攻击检测技术方法与比较[J].山西电子技术.2001(06).

[2]孙海飞.网络攻击检测技术[J].郑州牧业工程高等专科学校学报.2004(03).

[3]赵振明.无线网络中的攻击检测技术研究[J].计算机工程.2002(08).

[4]陈斌.关于等级保护APT攻击检测技术的研究[J].警察技术.2014(S1).