引言：IT安全團(tuán)隊(duì)面臨的傳統(tǒng)危險(xiǎn)已經(jīng)逐漸被更陰險(xiǎn)的攻擊形式所取代，即APT（高級(jí)持續(xù)性威脅）。高級(jí)持續(xù)性威脅是針對(duì)特定目標(biāo)而實(shí)施的一種長(zhǎng)期復(fù)雜的攻擊。高級(jí)持續(xù)性威脅并不是“普通”威脅。因此，我們不能用普通的防御方式應(yīng)對(duì)，實(shí)際上，只有深度防御才能應(yīng)對(duì)APT。

IT安全團(tuán)隊(duì)面臨的傳統(tǒng)危險(xiǎn)已經(jīng)逐漸被更陰險(xiǎn)的攻擊形式所取代，即APT（高級(jí)持續(xù)性威脅）。

高級(jí)持續(xù)性威脅是針對(duì)特定目標(biāo)而實(shí)施的一種長(zhǎng)期復(fù)雜的攻擊。高級(jí)持續(xù)性威脅并不是“普通”威脅。

所謂“高級(jí)”是指：攻擊者擁有需要充分利用目標(biāo)漏洞的高級(jí)技術(shù)和能力，其中包括編碼技能以及發(fā)現(xiàn)和利用以前未知漏洞的能力。

所謂“持續(xù)性”是指：這種攻擊不像那些短期的一次性攻擊那樣，而往往是在若干年中不斷地發(fā)展，利用多種手段，并隨著時(shí)間的推移而將安全損害結(jié)合起來(lái)，從而可以訪(fǎng)問(wèn)更多的重要數(shù)據(jù)。

所謂“威脅”是指：執(zhí)行高級(jí)持續(xù)性威脅的個(gè)人、團(tuán)體、企業(yè)擁有使攻擊者成功的動(dòng)機(jī)、能力、資源。

高級(jí)持續(xù)性威脅的運(yùn)行

幾乎每種高級(jí)持續(xù)性威脅都遵循四大步驟：

第一階段：偵察。也就是調(diào)查企業(yè)的弱點(diǎn)和漏洞，其中往往包括域名查詢(xún)、端口和漏洞掃描等。

第二階段：初步進(jìn)入。利用復(fù)雜的技術(shù)方法或是利用社交工程技術(shù)（如魚(yú)叉式釣魚(yú)），利用所發(fā)現(xiàn)的漏洞，在目標(biāo)網(wǎng)絡(luò)中建立立足點(diǎn)。

第三階段：特權(quán)提升。在初步的滲透之后，黑客設(shè)法獲得更多權(quán)利，并控制更多系統(tǒng)，然后安裝一個(gè)可以使將來(lái)的訪(fǎng)問(wèn)更容易的后門(mén)。

第四階段：持續(xù)吸血和非法利用。在建立控制之后，攻擊者就能夠持續(xù)地確定、損害和利用敏感數(shù)據(jù)。

傳統(tǒng)的互聯(lián)網(wǎng)安全規(guī)則在APT時(shí)代嚴(yán)重落伍

其原因有：

1.有耐心的攻擊者可以等待新漏洞，或者將看似一些不重要的技術(shù)整合到大型的有破壞力的攻擊中。

2.專(zhuān)門(mén)化的由國(guó)家資助的攻擊者不會(huì)僅僅因?yàn)楣颈绕渌居懈鼜?qiáng)健的安全就停止針對(duì)公司的滲透和攻擊。

3.APT可以用一種節(jié)奏緩慢的方式避開(kāi)即使配置最好的防火墻和入侵檢測(cè)系統(tǒng)。

企業(yè)需要的是深度防御，這是一種通過(guò)身份和訪(fǎng)問(wèn)管理功能而補(bǔ)充傳統(tǒng)安全解決方案的策略，其中包括：共享賬戶(hù)管理、虛擬化安全、最少特權(quán)訪(fǎng)問(wèn)、身份管理和監(jiān)管、會(huì)話(huà)記錄、高級(jí)認(rèn)證、服務(wù)器強(qiáng)化、數(shù)據(jù)保護(hù)、利用操作系統(tǒng)的命令、函數(shù)、實(shí)用程序防御APT。

深度防御策略通過(guò)身份和訪(fǎng)問(wèn)管理工具擴(kuò)展外圍防御和系統(tǒng)安全，提供針對(duì)APT攻擊的全面防護(hù)。

1.共享賬戶(hù)管理

訪(fǎng)問(wèn)和利用特權(quán)賬戶(hù)是對(duì)付所有APT攻擊的關(guān)鍵策略。因此，共享賬戶(hù)管理功能應(yīng)當(dāng)能夠：

安全地存儲(chǔ)加密口令；

根據(jù)策略管理口令的復(fù)雜性并進(jìn)行自動(dòng)變更；

限制對(duì)管理員賬戶(hù)的訪(fǎng)問(wèn)；

使用自動(dòng)登錄功能，用以防止口令共享；

提供緊急賬戶(hù)訪(fǎng)問(wèn)，用以限制哪些人可以訪(fǎng)問(wèn)特權(quán)賬戶(hù)；

清除腳本中對(duì)硬編碼口令的使用。

2.最少特權(quán)訪(fǎng)問(wèn)

訪(fǎng)問(wèn)不應(yīng)當(dāng)作為一種“全是或全否”的決策。相反，企業(yè)應(yīng)當(dāng)給個(gè)人僅需要完成其所分配任務(wù)的憑據(jù)。例如:

系統(tǒng)管理員應(yīng)當(dāng)能夠更新服務(wù)器軟件、做出配置更改、安裝新軟件，卻不應(yīng)當(dāng)自由地更改安全設(shè)置或查看日志。

安全管理員應(yīng)當(dāng)能夠更新和調(diào)整設(shè)置、配置，也可以查看日志文件，但不應(yīng)當(dāng)安裝軟件或訪(fǎng)問(wèn)敏感數(shù)據(jù)。

審計(jì)人員必須能夠改變安全設(shè)置和查看日志文件，但不應(yīng)當(dāng)對(duì)特定系統(tǒng)做出任何改變。

3.會(huì)話(huà)記錄

跟蹤特權(quán)賬戶(hù)執(zhí)行了哪些操作是檢測(cè)APT攻擊的關(guān)鍵措施。為此，會(huì)話(huà)記錄必須能夠：

直觀地展示“誰(shuí)做了什么”；

不需要瀏覽海量的難以閱讀的文本文件日志就可以提供加速損害調(diào)查的分析工具；

記錄所有登錄的時(shí)間、日期、源IP、用戶(hù)ID；

記錄用戶(hù)輸入的任何命令；

將異常行為與執(zhí)行此行為的個(gè)人連接起來(lái)。

4.服務(wù)器強(qiáng)化

必須對(duì)那些保存有敏感信息的任何服務(wù)器進(jìn)行配置，使其可以避免遭受APT攻擊，其中的措施包括：

使用防火墻控制通信、限制數(shù)據(jù)包并阻止不安全的協(xié)議；

利用應(yīng)用程序白名單，僅允許明確規(guī)定的執(zhí)行和安裝；

對(duì)于高風(fēng)險(xiǎn)應(yīng)用，定義一套具體的操作集；

防止對(duì)日志文件的更改；

監(jiān)視密鑰文件的完整性；

控制對(duì)目錄文件的訪(fǎng)問(wèn)；

5.利用操作系統(tǒng)的命令、函數(shù)、實(shí)用程序防御APT

發(fā)動(dòng)APT的攻擊者常常使用常見(jiàn)的操作系統(tǒng)命令、函數(shù)、實(shí)用程序來(lái)達(dá)到其目的。這些技術(shù)實(shí)際上可以有助于防御APT攻擊：

利用外部工具監(jiān)視和保護(hù)文件，即使文件看似不安全但管理者可以檢測(cè)攻擊者破壞網(wǎng)絡(luò)的企圖。

修改常見(jiàn)的系統(tǒng)命令的名稱(chēng)，從而使得對(duì)原始命令的任何使用都會(huì)觸發(fā)警告。

6.虛擬化安全

虛擬化系統(tǒng)的數(shù)量與日俱增，從而使得這些環(huán)境和虛擬機(jī)管理軟件成為APT的主要目標(biāo)。為保護(hù)虛擬化的基礎(chǔ)架構(gòu)，企業(yè)應(yīng)當(dāng)：

對(duì)于虛擬機(jī)管理軟件賬戶(hù)應(yīng)用最少特權(quán)的原則；

監(jiān)視和記錄發(fā)生在虛擬機(jī)管理軟件層的所有動(dòng)作；

利用自動(dòng)感知虛擬化的功能保障虛擬機(jī)的安全。

7.身份管理和監(jiān)控

謹(jǐn)慎地保護(hù)用戶(hù)身份是使APT攻擊的影響最小化的關(guān)鍵步驟。為此，身份管理和監(jiān)控功能必須能夠：

在員工離開(kāi)公司時(shí)，要盡快地清除其配置和身份授權(quán)；

找到和清除獨(dú)立的無(wú)用身份；

8.高級(jí)認(rèn)證

雙重認(rèn)證和基于風(fēng)險(xiǎn)的評(píng)估可以阻止或檢測(cè)非法的訪(fǎng)問(wèn)企圖，從而有助于防御APT攻擊的初步滲透。為確保其盡可能有效，高級(jí)身份認(rèn)證功能應(yīng)包括：

基于軟件并根據(jù)設(shè)備不同而變化的雙重憑據(jù)；

與特定情況相匹配的多功能認(rèn)證方法；

防御不同APT攻擊的規(guī)則；

設(shè)備確認(rèn)、地理定位、可疑活動(dòng)的IP黑名單和案例管理；

在需要更強(qiáng)健的身份保護(hù)時(shí)，要能夠增強(qiáng)身份認(rèn)證。

9.數(shù)據(jù)保護(hù)

由于任何APT攻擊的終極目標(biāo)都是竊取敏感信息，嚴(yán)格地控制這種數(shù)據(jù)是成功防御的核心要素。

為保護(hù)這些資產(chǎn)，企業(yè)必須：

根據(jù)敏感程度和類(lèi)型來(lái)分類(lèi)數(shù)據(jù)（如訪(fǎng)問(wèn)數(shù)據(jù)、在用數(shù)據(jù)、動(dòng)態(tài)數(shù)據(jù)、靜態(tài)數(shù)據(jù)，等等）；

在數(shù)據(jù)在源頭（如電子郵件和物理硬盤(pán)）之間傳輸時(shí)要加以控制。

成功的APT防御應(yīng)當(dāng)能夠補(bǔ)充傳統(tǒng)的外圍和基礎(chǔ)架構(gòu)的安全措施，所以企業(yè)就能夠使攻擊者的最初滲透更困難，減少賬戶(hù)遭到破壞后特權(quán)提升的可能性，并限制賬戶(hù)遭到破壞后造成的損害，可以檢測(cè)入侵企圖早期的可疑活動(dòng)和收集取證人員用以確定危害發(fā)生的性質(zhì)、時(shí)間、人員的信息。