高級(jí)持續(xù)性威脅(Advanced Persistent Threat)是當(dāng)前信息安全產(chǎn)業(yè)界的熱點(diǎn)，在最近兩年的RSA大會(huì)中，APT都成為了大會(huì)上最受矚目的關(guān)鍵詞之一。

作為一種有目標(biāo)、有組織的攻擊方式，APT在流程上同普通攻擊行為并無明顯區(qū)別，但在具體攻擊步驟上，APT體現(xiàn)出以下特點(diǎn)，使其具備更強(qiáng)的破壞性：

(1) 攻擊行為特征難以提取：APT普遍采用0day漏洞獲取權(quán)限、通過未知木馬進(jìn)行遠(yuǎn)程控制，而傳統(tǒng)基于特征匹配的檢測(cè)設(shè)備總是要先捕獲惡意代碼樣本，才能提取特征并基于特征進(jìn)行攻擊識(shí)別，這就存在先天的滯后性。

(2) 單點(diǎn)隱蔽能力強(qiáng)：為了躲避傳統(tǒng)檢測(cè)設(shè)備，APT更加注重動(dòng)態(tài)行為和靜態(tài)文件的隱蔽性。例如通過隱蔽通道、加密通道避免網(wǎng)絡(luò)行為被檢測(cè)，或者通過偽造合法簽名的方式避免惡意代碼文件本身被識(shí)別，這就給傳統(tǒng)基于簽名的檢測(cè)帶來很大困難。

(3) 攻擊渠道多樣化：目前被曝光的知名APT事件中，社交攻擊、0day漏洞利用、物理擺渡等方式層出不窮，而傳統(tǒng)的檢測(cè)往往只注重邊界防御，系統(tǒng)邊界一旦被繞過，后續(xù)的攻擊步驟實(shí)施的難度將大大降低。

(4) 攻擊持續(xù)時(shí)間長(zhǎng)：APT攻擊分為多個(gè)步驟，從最初的信息搜集，到信息竊取并外傳往往要經(jīng)歷幾個(gè)月甚至更長(zhǎng)的時(shí)間。而傳統(tǒng)的檢測(cè)方式是基于單個(gè)時(shí)間點(diǎn)的實(shí)時(shí)檢測(cè)，難以對(duì)跨度如此長(zhǎng)的攻擊進(jìn)行有效跟蹤。

正是APT攻擊所體現(xiàn)出的上述特點(diǎn)，使得傳統(tǒng)以實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主體的防御方式難以有效發(fā)揮作用。在同APT的對(duì)抗中，我們也必須轉(zhuǎn)換思路，采取新的檢測(cè)方式，以應(yīng)對(duì)新挑戰(zhàn)。