APT攻擊特點
針對性強
在已發現apt攻擊案列中分析發現,APT一般針對大型企業或國有大型項目的敏感數據,如2009年穀歌公司所遭受的“極光行動”,2010年伊朗核電站的“Stuxnet”等。且在攻擊之前通過各種渠道收集大量“目標數據”,這個手段有點像我國兵法所描述的“知己知彼百戰不殆”,然後分析整合篩選出可行方案(如極光行動中,利用被盜的員工賬號作為切入攻擊漏洞)將戰略思想充分融入到攻擊當中是這個病毒的鮮明特性。
人工植入
APT攻擊的病毒植入一般是通過手工植入這有別如傳統病毒攻擊模式,當然這並不是說他的植入方式要落後於傳統植入。相反,攻擊者在植入病毒的前期所做的工作可能要比任何一種攻擊要多的太多,攻擊者經常會針對性的進行為期幾個月甚至更長時間的潛心準備,熟悉用戶網路壞境,蒐集應用程式與業務流程中的安全隱患,定位關鍵信息的存儲位置與通信方式等等,為植入病毒的成功機率夯實基礎。
持續性攻擊
APT不像傳統病毒那樣一次性完事,他的潛伏期和攻擊都具有長時特點,可能幾個月也可能幾年而且在這期間你可能沒有絲毫察覺,被攻擊後你也很難鎖定攻擊者。因為這種攻擊一般和商業競爭亦或政治目的相掛鈎,顯然達到犯罪的類別,而且隱蔽性極強這些都為其持續性攻擊創造良好條件。
如何防範
針對複雜的攻擊可能不需要必要的努力和資源,因為熟練的攻擊者更喜歡使用零日攻擊,抵禦所有的零日攻擊幾乎是不可能的。但是,高價值數據或系統或國防承包商來說,必要的防禦是合理的。評估有價值的數據以及這些數據所面臨的風險,確定使用合理的防禦,如應用程式白名單,入侵檢測和日誌分析的攻擊檢測等。這將是有助於引導你識別出適合自己企業的,保護企業不受APT攻擊或其他類似安全威脅的好方法。