什么是APT

APT(Advanced Persistent Threat,高级持续性威胁),顾名思义,特点在于“高级”和“持续性”。借用全球最具权威的IT研究与顾问咨询公司Garter对APT的简单定义:“‘高级’是指它可以轻松绕过现有防护;‘持续性’是指它可以成功避开现有检测技术;‘威胁’是指它的高危害性。”

与之前通常以网络为目标的高危黑客活动相比,高级持续性威胁标志着攻击的根本性转变。这种威胁紧盯防护链条上的最薄弱环节,以特定的系统漏洞为目标,更重要一点,他瞄准的是特定人群,以战略性用户为攻击目标,以获取关键资产为目标,同时隐蔽性极强,能够成功躲避检测。被攻击目标往往在攻击结束时仍然未发现这些攻击,或者即使意识到也已经为时已晚。


APT攻击流程

与之前通常以网络为目标的高危黑客活动相比,高级持续性威胁标志着攻击的根本性转变。这种威胁紧盯防护链条上的最薄弱环节,以特定的系统漏洞为目标,更重要一点,它瞄准的是特定人群,以战略性用户为攻击目标,以获取关键资产为目标,同时隐蔽性极强,能够成功躲避检测。被攻击目标往往在攻击结束时仍然未发现这些攻击,或者即使意识到也为时已晚。


APT与传统攻击的差异

#APT普通攻击
时间长时间攻击长短不一定
动机窃取所需要的特定机密,包含国家机密、商业机密等动机不一定,一般以大范围获取个人资料或账号以换取实际利益为主
攻击者有组织、计划性的团队,有极强的能力和大量资源可以调用一般的个人或者是小型的黑客组织
攻击目标有针对性、小范围,如政府、高科技攻击、金融业,目前也逐步向其他有较高价值的部门和行业扩散无针对性、大范围,近年以具有大量个人资料的企业为主
攻击方法长期性、持续性、多样性,经常是基于0day漏洞的攻击,确保达成攻击目的多为速战速决,符合多种常见漏洞,以大量、快速、有效的单一手法入侵

对现有体系的挑战

现有安全体系及其面临的挑战

从图中可以看到,一套标准的安全模型包括了防火墙、IPS/IDS、Web、邮件安全网关、防毒墙/网络准入系统、主机安全防护软件。而追溯之前所提的高级持续性攻击整个流程中的五个环节,全部经过了现有安全防护设备的过滤和检测,并没能绕过这些设备而找到绝对私密的漏洞通道。从原则上讲,传统的安全防护设备完全能够获取到每个攻击环节的全部攻击数据和流量,甚至能够记录一些相关的行为。

并且,经历了数十年不断演进和完善的基础网络安全模型,基本覆盖了流量过滤、内容检测、行为识别等几乎所有安全环节,实现了立体式的全方位检测,在现在甚至未来的攻击事件和安全防护中,这种架构和模型仍将发挥不可替代的作用。

但是从诸多案例来看,我们又明确地发现,以这种基础网络安全模型进行架构的防护体系,不断地被各种APT攻击攻破,造成了不可挽回的损失,这种“有用”和“无用”的矛盾产生的原因以及界限是什么?

我们经过多大量APT样本的捕获、分析、追溯,发现APT攻击能够穿透传统防御体系的最主要的原因,在于APT攻击多采用以0day漏洞为基础的攻击手段作为突破方法,而传统的安全体系多采用白黑名单机制及基于签名的检测方式,以已知的漏洞和病毒作为主要防护目标。这就导致了恶意文件、恶意流量虽然经过了传统安全设备的检测,但是由于检测方法的缺陷,这种利用了0day漏洞的攻击样本无法被有效识别。

缺少未知文件鉴定环节

既然目前的安全体系已经实现了对所有流量的检测、过滤、阻断等能力,只是因为缺少对于利用0day漏洞的一类攻击无法识别,才致使整个安全检测系统失效。那么我们就可以通过增加一套针对此类未知威胁的鉴定器,来对目前已有的安全体系进行补足。现有安全体系无法识别的未知样本和未知流量,可以通过递交给鉴定器进行动态鉴定,来弥补自己检测能力的不足。而这正是安天追影高级威胁鉴定器的产品诉求和产品定位。