当恶意攻击更具目标性：恐怖的APT攻击

411nk999

    看了标题，恐怕就会有看客问：“现在的各类恶意攻击难道就没有目的性么？”其实，通过各类恶意攻击手段不断的赚取更多的经济利益，这是恶意攻击者最根本的目标，但现在的恶意攻击更具有针对性。
    最典型的两个案例分别是2010年的超级工厂病毒（Stuxnet）以及不久前RSA所遭遇的恶意入侵攻击。恶意攻击者对目标进行了深入研究，制定了针对性的攻击策略，十分具有耐心的入侵、潜伏，不动声色的散播、攻击，悄悄的破坏、窃取高价值信息数据，而这也正是所谓的APT攻击。
    遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的，理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破，超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒，而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击，以此为第一道攻击跳板，进一步感染相关人员的移动设备，病毒以移动设备为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，一点一点的进行破坏。这是一次十分成功的APT攻击，而其最为恐怖的地方就在于极为巧妙的控制了攻击范围，攻击十分精准。
    RSA所遭遇的APT攻击，其核心目标就是要窃取RSA的SecurID双因素认证产品相关信息。攻击者通过这些信息，来破解采用了RSA SecurID双因素认证产品用户的系统。也就是说，偷到了保险箱的钥匙后，转身再去打开保险箱。
    在2010年以前的恶意攻击都十分粗糙、原始，偷的还只是“小钱”。恶意攻击也在逐步进化、在升级，相信在今后的一段时间里APT攻击会逐渐成为主流的攻击方式，社会工程攻击将呈现定制化，攻击的目标性会更为明确，零日漏洞会更多的被攻击者所利用。
    抵御先进持续威胁—APT攻击先进持续威胁（APT）的定义仍在发展，并成为紧随备受瞩目的极光攻击后又一被广泛讨论的话题。APT攻击通常被定义为使用成熟的攻击或为了获得访问组织的权限而使用零日攻击，长期地攻击组织的威胁。APT攻击对记者和博主来说，一直是热门的话题，有些人认为APT仅仅是传播恐惧，不确定性和怀疑，而其他人则认为APT是未来信心安全的前线。
    在我看来，企业不必投入大量资源来防止这类攻击。也许这听起来不可思议，但针对最复杂的攻击可能不需要必要的努力和资源，因为必要时熟练的攻击者更喜欢使用零日攻击，而抵御所有的零日攻击几乎是不可能的。对那些拥有高价值数据或系统（比如关键基础架构）的企业，发布操作系统和常用软件的软件公司，以及国防承包商等等来说，必要的防御是合理的。
    在某些情况下，大多数的国防费用可能超过了资产的价值。你应该始终牢记攻击防御实际上，为了防止先进持续威胁，应确保你的安全架构是依赖于安全技术、流程和人员的多层次纵深防御。然后，你应该评估哪些是最有价值的数据以及这些数据所面临的风险是什么，以确定使用合理的防御，如应用程序白名单，使用入侵检测和日志分析的攻击检测，或者其他。这将是有助于引导你识别出适合自己企业的，保护企业不受APT攻击或其他类似安全威胁的最好方法。