APT（高级可持续性威胁）

APT攻击，即高级可持续威胁攻击,也称为定向威胁攻击，指某组织对特定对象展开的持续有效的攻击活动。这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。

一、概念

APT的中文解释为高级持续性威胁，这是一种利用先进攻击手段对特定目标进行长期持续性攻击的攻击形式，它的攻击原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。
　　APT攻击最大的威胁是“潜伏性和持续性”

二、特征

(1)潜伏性：这些新型的攻击和威胁可能在用户环境中存在一年以上或更久，他们不断收集各种信息，直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到能彻底掌握所针对的目标人、事、物，所以这种APT攻击模式, 实质上是一种“恶意商业间谍威胁”。
　　(2)持续性：由于APT攻击具有持续性甚至长达数年的特征，这让企业的管理人员无从察觉。在此期间，这种“持续性”体现在攻击者不断尝试的各种攻击手段，以及渗透到网络内部后长期蛰伏。
　　(3)锁定特定目标：针对特定政府或企业，长期进行有计划性、组织性的窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。
　　(4)安装远程控制工具：攻击者建立一个类似僵尸网络Botnet的远程控制架构，攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据，利用加密的方式外传。
　　APT威胁着企业的数据安全。APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据，这种发生在数字空间的偷窃资料、搜集情报的行为，就是一种“网络间谍”的行为。

三、特点

APT是一种有目标有组织的（有组织性、投入高；有明确的目标性、策划完善）攻击方式，在流程上它是与普通的攻击行为没有明显的区别，但在具体的攻击步骤上却有四个特点，因此使得它更具破坏性。
　　(1)难以提取攻击行为特征：APT普遍采用0 day漏洞获取权限、通过不知名的木马来进行远程控制，而基于特征匹配的传统检测设备一般都是首先要捕获恶意代码样本后才得以提取特征然后根据特征来进行攻击识别，在这方面就已经存在先天的滞后性了。
　　(2)较强的单点隐蔽能力（非常隐蔽，难以发现）：APT为了躲避传统检测设备，更加注重动态行为和静态文件的隐蔽性。比如为了避免网络行为被检测可以使用隐蔽通道、加密通道，又或者是为了避免恶意代码文件本身被识别而伪造合法签名，这些均给传统基于签名的检测带来很大困难。
　　(3) 多样化的攻击渠道（利用各种方式进行全方位渗透）：目前被曝光的知名APT事件中，社交攻击、0 day漏洞利用、物理摆渡等方式层出不穷，而传统的检测一般都只注重边界防御，然而一旦系统边界被绕过后就会使得后续的攻击步骤实施的难度大大降低。
　　(4) 攻击持续时间长（持续性久，难以防御）：APT攻击分为多个步骤，从最初的信息搜集，到信息窃取并外传往往要经历几个月甚至更长的时间。而传统的检测方式是基于单个时间点的实时检测，难以对跨度如此长的攻击进行有效跟踪。
　　APT攻击在上诉所体现的特点使得传统以实时检测、实时阻断为主体的防御方式难以有效发挥作用。在与APT的对抗中，我们应对新挑战时也必须要转换思路，采取新的检测方式。
APT攻击具有很强的破坏性，但我们也可以做到一个提前的的防范，而防范的方式有使用威胁情报、建立强大的日志分析以及可以聘请安全分析师，通过这些方式，防守方还得务必持续收集与分析，这样才会做到知己知彼，百战百胜。

四、企业安全现状

1.面对新型攻击手段，传统安全产品无法有效防御:基于特征码的传统安全产品，已经无法解决针对性攻击，攻击团体利用特制的恶意软件、社会工程学和黑客技术，可以轻松避开公司现有的防御设备，击败传统安全产品，攻击过程中所使用的零日攻击恶意程序，无法被传统安全产品所识别，攻击活动通常不能被检测，深深隐藏在未被发现的程序中。
2.无法快速定位和准确了解本地威胁的源头:运维人员无法快速定位和准确了解本地威胁的源头，当前企业信息内网覆盖范围广，接入设备众多，使用环境人员复杂，导致时常有内网设备感染病毒，在发生病毒感染时，终端软件可以查杀恶意软件，或者可以重装操作系统解决，但却无法准确定位病毒源和病毒感染原因，运维人员也无从可以企业安全的薄弱点在哪。
3.对信息系统隐性破坏难以察觉:像APT攻击，隐蔽性非常高，用户难于发现这些危害性大却又隐蔽的攻击行为。
4.客观存在的安全孤岛，安全体系有待完善:通过传统安全技术，在网络侧建立安全防线，如防火墙技术、防病毒技术、入侵检测技术……但是没有有效地资源整合，面对新型的攻击手段和技术，响应及联动无法实现，不能形成动态的立体的安全防护体系。

五、TDA

亚信安全深度威胁发现设备 TDA 是一款 360 度的网络流量分析产品和服务，可掌握全网络的流量来侦测并响应 APT 攻击与未知威胁。TDA 能侦测所有端口及 100 多种通讯协议的应用，为用户提供全方位的网络威胁侦测。TDA 采用三层式的侦测方法，第一层是静态分析，第二层是动态分析及行为侦测，第三层是事件关联，目的就是为了发掘隐匿的攻击活动。TDA 根据静态分析、动态分析、事件关联的汇总分析结果来实现威胁侦测的可视化。其独特的侦测引擎加上定制化沙箱动态模拟分析，能快速发掘并分析恶意文档，恶意软件、恶意网页，C&C 通信数据以及传统防护无法侦测到的定向式攻击活动。其深入的威胁情报分析能力能协助安全管理员快速响应，并可自动与亚信安全产品和服务或第三方情报中心透过公开标准分享情报，建立一个实时的定制化体系来防范黑客攻击。
原理：
TDA利用三级检测方案，首先实施初始的实时检测，然后通过模拟和关联进行深入分析，最后通过最终的交叉关联发现轻微慢速的威胁活动，以及其他只能通过长期观察才能发现的隐蔽活动，结合检测列表、威胁情报、报警报表、威胁百科，通过日志聚合来发现这些威胁。
功能：【发现、分析、控制进入系统的针对性攻击和高级威胁】
恶意威胁探测
沙盒平台分析
网络关联分析
威胁流量存储
HTTP流量验伤
终端联动验伤
告警日志聚合
优势：
简单易用，快速部署
TDA 为一网络旁路侦测设备，主要对于网络镜像流进行多网络层的分析（网络层从第二层至第七层），部署快且运作时不影响部署环境的网络效能。全新设计的智能搜寻以及威胁分类界面，可以让安全管理员容易进行重要日志的快速查找以及定制化条件的日志报表输出。
云端大数据库倍增分析能力
TDA 能针对 APT 攻击提供高级网络防护，监控所有连接端口以及 100 多种通讯协议，分析所有进出的网络数据流量。通过其特殊的侦测引擎与定制化沙盒技术，能发现并分析攻击者使用的恶意文档，恶意软件、恶意网页，幕后操纵（C&C）恶意通讯，以及隐匿的攻击活动，提供调查情报让调查人员快速响应并阻止攻击。再加上亚信安全很早以前投产的全球 APT 情报数据库及享誉全球的云安全智能防护网络（Smart Protection Network），可以让 TDA 在侦测大量的变种威胁以及利用零日漏洞的未知攻击上的侦测更具优势。
威胁预警，态势分析
大部分的威胁发现设备无法确切告知用户某攻击正在进行的阶段，以至于安全管理员在响应处理上无法采取更有效的策略。而 TDA 在攻击事件的分析上可具体呈现出每个 APT 攻击所在的阶段，帮助安全管理员针对事件所在的攻击阶段采取更有效率的响应策略以及作为。
联动响应，实时处理
作为亚信安全 APT 治理战略中的重要一环，TDA 可透过与亚信安全终端安全产品和服务 OfficeScan，服务器安全产品和服务 Deep Security，以及网络安全产品和服务 Deep Edge 进行实时联动，从企业安全运营的各个重要环节实时阻断高级威胁的攻击活动。透过产品和服务本身提供的 Web API 以及安全威胁情报共享标准 IOC ，企业的既有安全架构可充分利用 TDA 所产出的本地威胁情报进行集成和利用，持续累积强化企业自身的安全防护能力。

NSS Labs 测试报告持续第一
2014-2017连续四年获得入侵外泄侦测系统评测最高评价
侦测率为100%
2015-2017荣获ICSA Labs的高级威胁防御（ATD）类型产品认证
可以与其他安全产品联动