如今，高級(jí)持續(xù)性威脅(Advanced Persistent Threat，APT)會(huì)反復(fù)出現(xiàn)在每一份網(wǎng)絡(luò)安全分析報(bào)告當(dāng)中，它的惡名和手段，已成為所有用戶最擔(dān)心的危險(xiǎn)。而在當(dāng)下，超過(guò)88%的惡意軟件都擁有“變身”能力，能夠輕松逃避傳統(tǒng)防毒代碼解決方案的攔截，輕松進(jìn)入企業(yè)內(nèi)部為非作歹。所以，當(dāng)你看不到這些危險(xiǎn)的時(shí)候，恐怖的APT可能就發(fā)生在身邊。

APT攻擊的背后一般都是優(yōu)秀技術(shù)、資金資源的黑客組織或集團(tuán)，他們對(duì)某些特定的用戶發(fā)起的有目的、長(zhǎng)時(shí)間的攻擊，一般都會(huì)采用情報(bào)收集、進(jìn)入點(diǎn)、命令和控制(C&C)通訊、橫向擴(kuò)展等手段，并以盜取數(shù)據(jù)為最終目標(biāo)。但由于缺少可以甄別出APT攻擊的安全工具，用戶往往需要窮盡所有、借助外部專家?guī)椭�，在浪費(fèi)了數(shù)月之后才能僥幸發(fā)現(xiàn)它們?cè)谄髽I(yè)內(nèi)部寄居的“窩點(diǎn)”。用戶采用這種極其低效的防御方式，后果只有一個(gè)：你的核心機(jī)密早已被黑客盜取，并成為地下交易市場(chǎng)上販賣的商品。

那么， APT為何難以發(fā)現(xiàn)呢?對(duì)此，WatchGuard 中國(guó)區(qū)市場(chǎng)總監(jiān)萬(wàn)熠表示：一方面，APT攻擊的操縱者經(jīng)常會(huì)針對(duì)性的進(jìn)行為期幾個(gè)月甚至更長(zhǎng)時(shí)間的潛心準(zhǔn)備，企業(yè)憑借自身力量無(wú)法在海量的信息中發(fā)現(xiàn)探測(cè)、橫向擴(kuò)展等行為。他們會(huì)把惡意代碼植入企業(yè)中的薄弱終端，但不會(huì)立即發(fā)動(dòng)攻擊。當(dāng)一切準(zhǔn)備就緒，攻擊者鎖定的重要信息便會(huì)從這條秘密通道悄無(wú)聲息的轉(zhuǎn)移出去。另一方面，傳統(tǒng)的惡意軟件探測(cè)方式是以簽名技術(shù)為基礎(chǔ)的，但蠕蟲(chóng)、木馬、0Day漏洞為手段的攻擊形式正在向復(fù)雜性更高的APT形式過(guò)渡，這些產(chǎn)品已經(jīng)無(wú)法順應(yīng)時(shí)代的發(fā)展。

從歷史上看，APT的目標(biāo)是政府和大型企業(yè)的關(guān)鍵基礎(chǔ)設(shè)施，但經(jīng)濟(jì)利益的驅(qū)動(dòng)下，現(xiàn)在這種威脅已經(jīng)發(fā)展到針對(duì)更小的組織和企業(yè)。為了幫助中小企業(yè)用戶積極有效地應(yīng)防御APT攻擊，作為全球知名的網(wǎng)絡(luò)及內(nèi)容安全解決方案提供商，WatchGuard在旗下 UTM和NGFW設(shè)備實(shí)現(xiàn)了“APT攔截器”的功能。在全新的v11.9版本中，用戶可以擁有APT威脅防范的可見(jiàn)性和實(shí)時(shí)性。

該方案基于WatchGuard的RED全球信譽(yù)評(píng)估云平臺(tái)，使用仿真環(huán)境，APT攻擊代碼和包含零日威脅的惡意流量將自動(dòng)提交到云端沙箱中進(jìn)行分析。WatchGuard全球的五大數(shù)據(jù)中心，以及獨(dú)有的3大反病毒引擎并發(fā)檢測(cè)技術(shù)，將最終形成安全策略發(fā)布平臺(tái)，提前一步防止攜帶APT攻擊特性的數(shù)據(jù)進(jìn)入企業(yè)內(nèi)部。另外，WatchGuard的 Dimension日志系統(tǒng)將利用大數(shù)據(jù)分析技術(shù)，真正意義上幫助用戶擁有在數(shù)分鐘內(nèi)發(fā)現(xiàn)并追蹤APT攻擊源頭能力，解決傳統(tǒng)技術(shù)無(wú)法識(shí)別或是需要數(shù)日時(shí)間才能預(yù)警的被動(dòng)局面。