高级持续性威胁(Advanced Persistent Threat)是当前信息安全产业界的热点,在最近两年的RSA大会中,APT都成为了大会上最受瞩目的关键词之一。
作为一种有目标、有组织的攻击方式,APT在流程上同普通攻击行为并无明显区别,但在具体攻击步骤上,APT体现出以下特点,使其具备更强的破坏性:
(1) 攻击行为特征难以提取:APT普遍采用0 day漏洞获取权限、通过未知木马进行远程控制,而传统基于特征匹配的检测设备总是要先捕获恶意代码样本,才能提取特征并基于特征进行攻击识别,这就存在先天的滞后性。
(2) 单点隐蔽能力强:为了躲避传统检测设备,APT更加注重动态行为和静态文件的隐蔽性。例如通过隐蔽通道、加密通道避免网络行为被检测,或者通过伪造合法签名的方式避免恶意代码文件本身被识别,这就给传统基于签名的检测带来很大困难。
(3) 攻击渠道多样化:目前被曝光的知名APT事件中,社交攻击、0day漏洞利用、物理摆渡等方式层出不穷,而传统的检测往往只注重边界防御,系统边界一旦被绕过,后续的攻击步骤实施的难度将大大降低。
(4) 攻击持续时间长:APT攻击分为多个步骤,从最初的信息搜集,到信息窃取并外传往往要经历几个月甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测,难以对跨度如此长的攻击进行有效跟踪。
正是APT攻击所体现出的上述特点,使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。在同APT的对抗中,我们也必须转换思路,采取新的检测方式,以应对新挑战。
