近幾年曝光的一些信息安全事件，使得APT（Advanced Persistent Threat，高級持續性威脅）攻擊逐漸引起業界的廣泛關注，這一被外界賦予神秘外衣的攻擊行為已在全球多個國家的政府和企業內部發生。

　　顧名思義，所謂APT可以從高級與持續兩個方面理解，一是它有比較明確的攻擊目標，采用多種偵查手段全方位搜集情報，并利用多種入侵技術；二是攻擊準備和攻擊過程的持續時間都很長，直至達到其目的。

　　回顧過往發生過的典型APT攻擊案例，無論是RSA SecurID遭竊取攻擊，谷歌極光攻擊事件，伊朗核電站震網攻擊事件等等，攻擊者經常會針對性的進行為期幾個月甚至更長時間的潛心準備，熟悉對象網絡壞境，搜集應用程序與業務流程中的安全隱患，定位關鍵信息的存儲位置與通信方式，并最終致使用戶遭受巨大損失。

　　對于用戶來說，普遍關心的是如何有效發現并阻止APT攻擊，對于整個安全服務的產業來說，也在思考如何為客戶提供防御APT的能力。伴隨著這一攻擊行為的愈演愈烈，安全防御能力的建設過程無疑需要加快。

APT事件的樣本集之外

　　由于APT本身帶有高度的定向性和隱蔽性，“迄今為止，中國的網絡安全廠商和團隊雖然曝光了很多漏洞，但真正就一個以中國為目標進行的一套作業鏈的揭示依然缺乏有效進展。”安天實驗室首席技術架構師肖新光在2014中國互聯網安全大會上如是說。

　　對于一個傳統的反惡意代碼團隊來說擁有海量的樣本集，卻往往不知道哪一個樣本集歸屬于哪個事件，如何把事件和樣本之間的關系建立起來是APT分析的關鍵之處。

　　當然，樣本集是APT分析的一部分，而且是研究APT最有效、最直接的資源，“但我們匱乏的是它投放、回傳的過程。”肖新光說，像震網這樣縱深行的APT攻擊，對它分析的工作量不在樣本集上，而是在于對手場景的仿真、模擬，這個過程超出了我們現有的研究能力和成本。

　　也就是說，安全服務團隊手里擁有小偷作案的痕跡，有他丟在現場的作案工具，卻缺少其撬鎖時的錄像或逃跑時的軌跡。

大數據的聯合防控

　　對安全服務團隊的挑戰還體現在其他方面，360企業安全產品總監韓志立指出，其一是APT往往具備高級逃逸技術，或者是0day等先進方法的惡意軟件。多態和變形使安全團隊掌握的攻擊特征總不及時，并且數以億計的規模是檢測引擎無法承載。其二，由于攻擊者具備內網合法權限，無需使用攻擊手段，擊者針對現有監控措施，有意識規避，致使傳統內網檢測方案無法監控內網持續滲透。

　　從以上不難理解“沒有任何一個單獨的產品能夠實現APT百分百的防御”這一說法。

　　所以APT防御是一個綜合的解決方案，需要在黑客的研究、滲入、數據發現、數據捕獲和數據傳出等階段進行全面的防護，這樣就需要多個產品之間的協同配合。

　　國家信息技術安全研究中心特種技術檢測處隊長曹岳建議用大數據的聯合防控來抵御APT，對長時間、全流量數據進行深度分析，以沙箱方式、異常檢測模式解決特征匹配的不足，將傳統基于實時時間點的檢測轉變為基于歷史時間窗的檢測，通過流量的回溯和關聯分析發現APT蛛絲馬跡。

　　其中，不可缺少的是要建立專業的事件響應團隊，及時查看安全設備的告警信息，快速處理各種安全威脅。

安全情報共享 產業鏈合作

　　要實現APT的縱深防御，絕不能形成安全孤島，必須要多個安全產品之間相互協作。站在更高的角度看，安全廠商之間需要互通情報，協同工作。

　　眾所周知，美國建立了網絡安全的完善體系，原國家網絡信息安全技術研究所所長云曉春在互聯網安全大會上重點介紹了美國反APT的“產業聯盟”，無論是FireEye、Bit9、Palo Alto等都是在各自專業領域上的佼佼者，它們充分發揮各自優勢、利用自身專業技術，通過安全情報的共享建立了密不透風的一堵墻。

　　顯然，中國在技術標準、監管體制、產業的聯合引導上還不足，產業的分工較為同質與分散，只有建立廣泛的合作體系與安全框架的藍圖，加強產業鏈合作才能形成網絡安全尤其是APT的有效防御。