高级持续性威胁(APT)是公司可能面临的最危险的网络威胁之一。这些攻击很难检测到，并且允许入侵者在网络中隐藏数月之久。当黑客留在系统中时，公司会在不知道问题原因的情况下经常遭受数据丢失和中断。本文是对APT攻击的介绍。我们解释什么是APT，教授如何识别感染迹象，并展示为此类攻击做准备的方法。

高级持续性威胁(APT)是一种网络攻击，其中入侵者在网络中获得并保持长期存在。APT攻击的后果是巨大的，包括：

APT是多阶段攻击，需要数周才能建立并持续数月甚至数年。?APT在四个关键方面不同于?常见的网络攻击：

APT攻击需要大量的努力和资源。黑客通常会攻击高价值目标，例如企业和公司。APT攻击者经常针对大型组织供应链中的小公司。黑客使用防御较少的公司作为切入点，因此各种规模的企业都必须知道如何识别APT攻击。

APT攻击的主要目标是什么？

APT攻击的目标是在不警告系统的情况下闯入网络，并在内部花费足够的时间窃取数据。所有有价值的数据都是APT的潜在目标，包括：

除了窃取数据，APT的目标还可以包括破坏基础设施、破坏单个系统或完成站点接管。每次攻击都有其独特的目的，但目标始终是数据泄露、间谍活动和破坏活动的混合。

APT攻击检测：APT攻击的迹象是什么？

APT黑客使用高级方法来隐藏他们的活动，但某些系统异常可能表明攻击正在进行中。

被盗登录凭据是APT攻击者获得网络访问权限的主要方式之一。在奇数时间频繁登录服务器可能表明正在进行APT攻击。黑客可能在不同的时区工作或在夜间工作以减少被发现的机会。

如果工具检测到比平常更多的后门木马，则可能是APT攻击。APT攻击者使用后门木马来确保在登录凭据发生更改时继续访问。

鱼叉式网络钓鱼电子邮件是潜在APT的明显标志。黑客可能会将这些电子邮件发送给高层管理人员，以期获得受限数据。

APT攻击者经常将他们想要窃取的数据复制并存储到网络中的另一个位置。一旦隔离并捆绑在一起，这些文件就成为更容易传输的目标。攻击者将捆绑包放置在团队通常不存储数据的地方。定期扫描和检查任何放错位置或异常的数据文件。

奇怪的数据库活动可能是APT的一个指标。留意涉及大量数据的数据库操作的突然增加。

记下管理员帐户行为的任何变化。APT黑客依靠管理员权限在网络中横向移动并感染更大的表面。与陌生父母创建新帐户也是潜在APT的标志。

APT攻击生命周期：APT攻击的4个阶段

APT攻击涉及多个阶段和多种攻击技术。典型的攻击有四个阶段：?计划、渗透、扩展和执行。

每个APT项目都需要针对如何击败目标的保护系统的定制计划。黑客必须在计划阶段执行以下步骤：

一旦他们收集了所有信息，攻击者就会部署一个小版本的软件。该侦察程序有助于测试警报和识别系统薄弱环节。

攻击者获得对网络的访问权。渗透通常通过三个攻击面之一发生：

为了获得初始访问权限，APT黑客使用各种攻击方法，包括：

渗透期间的常用策略是同时发起?DDoS攻击。DDoS分散了工作人员的注意力并削弱了边界，从而更容易破坏网络。一旦他们获得初始访问权限，攻击者就会迅速安装一个后门恶意软件，该恶意软件授予网络访问权限并允许远程操作。

在他们建立立足点后，攻击者会扩大他们在网络中的存在。扩展涉及向上移动用户层次结构并损害有权访问有价值数据的员工。?蛮力攻击是此阶段的常用策略。

恶意软件对APT至关重要，因为它允许黑客在不被发现的情况下保持访问。该恶意软件帮助攻击者：

在这个阶段，攻击者拥有可靠且长期的网络访问权限。安全控制没有意识到危险，入侵者可以开始完成攻击目标。如果目标是窃取数据，攻击者会将信息打包存储，然后将它们隐藏在网络中流量很少或没有流量的部分。

一旦他们收集到足够的数据，窃贼就会尝试提取信息。一种典型的提取策略是使用白噪声来分散安全团队的注意力。数据传输发生在网络人员和系统防御忙碌时。

APT团队通常会尝试在不泄露其存在的情况下完成提取。攻击者通常在退出系统后留下后门，目的是在未来再次访问系统。

如果APT攻击的目标是破坏系统，则执行阶段的表现会有所不同。黑客巧妙地控制了关键功能并操纵它们造成损害。例如，攻击者可以破坏整个数据库，然后中断通信以阻止灾难恢复服务。

同样，目标是在不让安全团队发现入侵者的情况下造成破坏。这种隐身方法允许重复攻击。

防病毒程序等标准安全措施无法有效保护公司免受APT攻击。APT检测和保护需要网络管理员、安全团队和所有用户之间的各种防御策略和协作。

监控流量对于以下方面至关重要：

检查网络边界内外的流量有助于检测任何异常行为。网络边缘的Web应用程序防火墙(WAF)应过滤到服务器的所有流量。WAF可防止应用层攻击，例如RFI和SQL注入，这是APT渗透阶段的两种常见攻击。

内部流量监控也很重要。网络?防火墙?提供用户交互概览，并帮助识别不规则登录或奇怪的数据传输。内部监控还允许企业在检测和删除后门外壳的同时监视文件共享和系统蜜罐。

白名单是一种控制可以从网络访问哪些域和应用程序的方法。白名单通过最小化攻击面的数量来降低APT成功率。要使白名单生效，团队必须仔细选择可接受的域和应用程序。严格的更新策略也是必要的，因为您必须确保用户始终运行所有应用程序的最新版本。

员工通常是安全边界中最脆弱的点。APT入侵者经常试图将员工变成一个简单的网关来绕过防御。保护企业免受恶意内部人员侵害的最佳方法是依靠零信任政策。?零信任安全限制了每个帐户的访问级别，仅授予用户执行工作所需的资源的访问权限。

在零信任环境中，受损帐户会限制入侵者在网络中移动的能力。另一个有用的安全措施是使用双因素身份验证(2FA)。2FA要求用户在访问网络的敏感区域时提供第二种形式的验证。每个资源上的附加安全层可以减慢入侵者在系统中的移动速度。

保持补丁更新对于防止APT攻击至关重要。确保网络软件具有最新的安全更新可减少出现弱点和兼容性问题的机会。

网络钓鱼欺诈是APT攻击的常见切入点。培训员工识别网络钓鱼企图，并教他们在遇到网络钓鱼企图时该怎么做。电子邮件过滤有助于防止网络钓鱼攻击的成功率。过滤和阻止电子邮件中的恶意链接或附件可以阻止渗透尝试。

APT黑客在获得非法访问权限后，会在整个网络中留下后门。扫描和删除后门是阻止当前和防止未来APT尝试的有效方法。

请记住扫描端点设备以查找后门和其他恶意软件。APT攻击通常涉及对端点设备的接管，因此检测和响应入侵是当务之急。

了解APT的重要性并为攻击做好准备

APT攻击的后果可能是极端的。丢失数据和声誉几乎是一种保证，因此请尽一切努力防止攻击。幸运的是，现在您知道APT是什么以及如何识别它，因此您已准备好加强和保护您的工作负载。