APT攻击的概念及特点分析

      在信息安全工程师考证的网络安全当中有考到APT这一个知识点，那么大家是否都知道什么是APT攻击吗?它的特点又有哪些呢?下面就跟着小编来一起分析分析吧。

　　1.概念

　　APT的中文解释为高级持续性威胁，这是一种利用先进攻击手段对特定目标进行长期持续性攻击的攻击形式，它的攻击原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。

　　APT攻击最大的威胁是“潜伏性和持续性”，其主要的特征有：

　　(1)潜伏性：这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物，所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。

　　(2)持续性：由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。在此期间，这种“持续性”体现在攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏。

　　(3)锁定特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。

　　(4)安装远程控制工具：攻击者建立一个类似僵尸网络Botnet的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据，利用加密的方式外传。

　　APT威胁着企业的数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

　　2.特点

　　APT是一种有目标有组织的攻击方式，在流程上它是与普通的攻击行为没有明显的区别，但在具体的攻击步骤上却有四个特点，因此使得它更具破坏性。

　　(1)难以提取攻击行为特征：APT普遍采用0 day漏洞获取权限、通过不知名的木马来进行远程控制，而基于特征匹配的传统检测设备一般都是首先要捕获恶意代码样本后才得以提取特征然后根据特征来进行攻击识别，在这方面就已经存在先天的滞后性了。

　　(2)较强的单点隐蔽能力：APT为了躲避传统检测设备，更加注重动态行为和静态文件的隐蔽性。比如为了避免网络行为被检测可以使用隐蔽通道、加密通道，又或者是为了避免恶意代码文件本身被识别而伪造合法签名，这些均给传统基于签名的检测带来很大困难。

　　(3) 多样化的攻击渠道：目前被曝光的知名APT事件中，社交攻击、0 day漏洞利用、物理摆渡等方式层出不穷，而传统的检测一般都只注重边界防御，然而一旦系统边界被绕过后就会使得后续的攻击步骤实施的难度大大降低。

　　(4) 攻击持续时间长：APT攻击分为多个步骤，从最初的信息搜集，到信息窃取并外传往往要经历几个月甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。

　　APT攻击在上诉所体现的特点使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。在与APT的对抗中，我们应对新挑战时也必须要转换思路，采取新的检测方式。

      APT攻击具有很强的破坏性，但我们也可以做到一个提前的的防范，而防范的方式有使用威胁情报、建立强大的日志分析以及可以聘请安全分析师，通过这些方式，防守方还得务必持续收集与分析，这样才会做到知己知彼，百战百胜。

      APT攻击对于网络安全有着一个较强的破坏性，而在信息安全工程师这门考证当中也是一个不可忽视的知识点，希望小编在上述的讲解当中能给大家提供一些学习帮助，给大家复习信息安全工程师这门课程里出一份小力。如果大家有更多学习这门课程的需要可以到课课家教育去进行了解，这里有大量的课程可以给大家提供帮助哦。