content/zh-cn/images/repository/isc/2017-images/37-apt.jpg

有一种攻击可以采用各种复杂技术来窃取公司的宝贵信息,只要想到这一点,就足以让企业网络安全专家从睡梦中惊醒。

名字中的“高级”二字就表明,高级持续性威胁 (APT) 可以利用持续且复杂的黑客技术来获得系统访问权并长期潜伏,并且有可能造成毁灭性后果。

主要目标

由于执行此类攻击需要付出极大精力,因此 APT 通常都是瞄准高价值目标,例如国有企业和大公司,最终目的在于长期窃取信息,而不是像许多黑帽黑客在低级网络侵害中那样“打一枪换一个地方”。

全球各地的大型企业都应该认真防范 APT 这种攻击方式。 但是,这并不意味着中小型企业就可以忽视这种类型的攻击。

APT 攻击者正越来越多地利用小型公司来组成达到最终目标的供应链,以此作为一种获得大型机构访问权限的途径。此类公司的防卫一般都较弱,正好成为他们的踏脚石。

不断演变的攻击

APT 攻击的整体目标是获得系统的持续访问权。黑客实现此目标的过程分为一系列阶段。

第一阶段:获取访问权限

就像入室盗窃者使用撬棍强行打开房门一样,网络罪犯通常是利用网络、受感染文件、垃圾邮件或应用程序漏洞作为入口,并在目标网络中插入恶意软件。

第二阶段:建立据点

网络罪犯植入恶意软件,它允许创建一个由后门和通道组成的网络,用于在系统中悄无声息地四处移动。恶意软件通常采用重写代码等技术,以帮助黑客掩盖他们的痕迹。

第三阶段:深入访问

一旦成功入侵,黑客将使用密码破解等技术来获取管理员访问权限,使其能够更大范围地控制系统并获得更高级别的访问权。

第四阶段:横向移动

利用管理员权限更加深入到系统内部之后,黑客就可以随意移动了。他们还可以尝试访问其他服务器和网络的其他受保护部分。

第五阶段:观察、学习和潜伏

黑客从系统内部全面了解其工作方式、发现其漏洞,这样就能随意获取他们想要的信息。

黑客可以尝试使这一过程不断运行(可能是永无限期),或者在实现特定目标后撤退。他们通常会保留一个后门打开,以便将来再次访问系统。

人为因素

由于公司的网络防御一般比私人用户更为成熟,因此攻击方式通常需要有人在内部接应,在至关重要的“动手”时刻发挥作用。但是,这并不意味着该工作人员有意参与攻击。攻击者通常会部署一系列的社交工程技术,例如捕鲸式或鱼叉式网络钓鱼。

事后的威胁

APT 攻击的主要危险在于,即使被发现且当前威胁似乎已解除,但黑客仍然可能留下了多个后门,让他们可以选择适当的时机再返回。此外,许多传统网络防御措施(例如防病毒软件和防火墙)不能始终针对这些类型的攻击提供保护。

必须将多种措施结合起来,包括从卡巴斯基企业安全解决方案这样成熟的安全解决方案到训练有素、掌握社交工程技术的员工团队,才能最大程度地实现成功的持续防御。

什么是高级持续性威胁 (APT)?

高级持续性威胁 (APT) 利用持续且复杂的黑客技术来获得系统访问权,并且留存期和潜在破坏期都很长。
Kaspersky Logo