APT 攻擊是不可能被有效防範的？

12-30

從企業的角度講被人拿下一兩台工作站，幾台伺服器什麼的都是正常的。至少我在做安全架構設計的時候從來考慮的都不是如何防止別人進來，而是如何防止別人進來後到處亂逛。對於大企業，甚至要考慮對手專門派人進來卧底的情況。

說起APT很多人總覺得很可怕，天天被人盯著一有0day就挨打，其實不然，只要架構設計時考慮到縱深防禦，結合各種完備的內網監控，運維監控，HIDS，IoC檢測等等，別人來APT你就是給你送0day的。

另外，攻擊要猥瑣，防禦也要猥瑣，有次有一台虛擬機被搞了，HIDS馬上報警到soc監控，安全人員確認後直接把該機無縫切換到honey net，裡面什麼都有，域環境，郵件伺服器什麼的，然後收穫了不少小工具。

如果定義APT（高級持續性威脅）和普通威脅的差別是「能不能被有效防禦」，那麼APT當然不能被有效防禦，這其實就變成了「沒有真正的蘇格蘭人」謬誤。

如果認為APT只是複雜些、隱蔽些的威脅，而不是玄之又玄的攻擊，那麼APT自然可以被有效防禦，事實上我們拋開APT這個概念，你就會發現，所謂的APT跟過去的滲透攻擊並沒有什麼本質的不同，在APT這個名詞尚未被發明的10多年前，類似的攻擊手段就已經存在了，只是當時用這個手法的人並不知道這就叫APT而已。

雖然說滲透攻擊的手法越來越巧妙，也越來越隱蔽，然而信息安全從業人員卻不需要妄自菲薄，因為相應的防禦或者檢測手段也越來越先進。

目前業界比較流行的防禦APT思路有三種：

1、採用高級檢測技術和關聯數據分析來發現APT行為，典型的公司是FireEye；

2、採用數據加密和數據防泄密(DLP)來防止敏感數據外泄，典型的公司是賽門鐵克；

3、採用身份認證和用戶許可權管理技術，嚴格管控內網對核心數據和業務的訪問，典型的公司是RSA。

當然，實戰中，即使採用了全面的安全措施，也並不能簡單地說：「不會被黑」，因為攻防從根本上來說是成本/收益的遊戲，這又涉及到如何定義什麼叫「有效防禦」了。

自從有了APT這個框，什麼都在往裡裝。

如果僅僅提A，也就是說技術高超，那就沒有邊際了。實際一點，有多少錢防多高級的A。如果說到P，就要區分他的攻擊是持續的試著找漏洞還是持續深入滲透，還是找到一個漏洞持續不斷地利用攻擊。無論哪一種，因為持續時間長，所以一定有軌跡可找。所以做長期日誌和異常的關聯分析很重要。發現以後確實蜜罐比堵洞更好使。

現在的問題是，很多人提到攻擊就說apt，大家都忘記apt原本的意義了。框里裝太多東西了。

很多人說apt完全是不懂裝懂的。

包括我。

其實 apt 能不能防禦基本取決於對方有多少錢……

如果對面是 CIA 或者總參三部（現在不知道改到哪裡了）這樣的，你就沒多少辦法了……

換一種角度，APT其實可以理解成隱蔽性比較強的複合性安全威脅攻擊。

從攻擊的角度看，防禦體系的瓦解，內外因都有。

外因：0Day、1Day、Nday，這種利用時間差和信息差，滲透到公司安全架構中潛伏，視機發動攻擊，收集有價值信息，破壞內部服務。

內因：由於內部的安全防範意識薄弱的疏忽，暴漏伺服器信息街，因不可描述的原因信息泄漏，給內部給安全系統撕開一個口子。

從防範的角度看

1.是否可以及時發現威脅並預警。

2.是否可以溯源威脅原因。

3.是否可以評估量化威脅影響範圍。

傳統的安全設備是為了保護網路信息基礎設施的，認證系統、日誌收集分析、防火牆、堡壘機、IDS、WAF、掃描器，都在某種程序上抵禦信息泄漏和外部滲透，十八般武器，各有所長，各有所短，有沒有一種以逸待勞、一勞永逸的方式解決滲透攻擊，及時的響應威脅？

進攻人員利用時間差和信息差進行攻擊，安防人員就要縮短時間差，先於或是及時的發現可能覆蓋的0Day、NDay。而客觀上，安防難點在此，看誰反應快。

掃描器廠商及時更新策略，應對流通已知的威脅，掃面本身時間上成線性，掃描需要時間消化，並且死角里出現的伺服器，可能在實時的掃描範圍內，或是內部人員自己就泄漏登錄信息。

防火牆本身也有部署範圍局限，安全資產過多，網路線路過多，安全投入不夠，也不能有效的覆蓋所有網路路徑，IDS也同理。實時性WAF帶寬和效率有上限，大數據分析系統也有演算法邊界。另外和安全廠商的運維開發團隊溝通有時間成本，這些都是打時間差戰爭的敵人。

從入和出、外部信息檢索等方面都需投入精力，並且硬體設備，軟體系統都是有生命周期的，大量使用相同開源服務，問題暴漏是個時間早晚的問題，人寫的軟體多少都有問題，正源於此，讓攻擊手段也像雨後的野草，瘋狂生長，生命力頑強。

這其實也是一場攻擊者和防範者之間的智力角逐，設備就是刀叉劍姬、斧鉞鉤叉，除了正規的武器，還要有，爐鉤子、火鏟子、狼牙棒，兵來將擋、水來土掩，思維方式是武術套路，有時魔高一尺，有時道高一丈。

先不要說，安全投入足，就算一般程度的投入，是否可以有一種完備安全設備、或是軟體方案可以一勞永逸呢？如果設備不要人維護，軟體沒Bug，不使用開源服務，大數據演算法模型精準無誤無邊界，世界沒有壞人黑產牟利，沒有物理攻擊自然災害，世界和平，關鍵還要有，內部人員不泄漏敏感信息，不把帶洞的伺服器掛到外網，最好伺服器也不通電，或許可以吧！否則，要做到及時發現應對，跟上軟體漏洞爆出的節奏，識別滲透攻擊模式，消除威脅，信大法根本不行。

為什麼攻擊會成功？一切軟體都是有生命周期的，軟體會在整個生命周期中，暴漏自身問題，這些問題有安全隱患。站在企業內部角度看，各種軟體是五花八門，新老交替。在內部使用這些軟體，都是服務健康的嗎？不一定。有時是因為攻擊者太強了，防不勝防，有時是歷史原因造成了內部環境薄弱，一旦這薄弱的環節，被潛伏者識別收集，平時悄無聲息，在關鍵時刻進行蓄意攻擊，會造成不良影和經濟損失。

面臨的現實是，空軍也不能全用J20,坦克也不能都是99式，老裝甲車皮薄速度慢。如果攻擊者用一種不可描述的方式取得了機器許可權，繞過監控，去一個沒有在威脅情報庫里記載的新域名IP下載威脅應用，然後潛伏起來，平時攻擊一些內部的黑盒設備，然後繼續收集信息，不會讓你感覺到流量異常，在某年某月的某一天，一個最不該的時間破壞服務，掐死你的溫柔。

越來越依賴信息基礎設施，這些設施就真的像鐵路橋樑一樣成為經濟命脈，挖漏洞同攔路搶劫，APT成無間道，情況只會愈演愈烈。

只要有漏洞和弱點（技術上，管理上等等），就有可能。如果沒有漏洞和弱點，就創造它們。當然要看攻擊方是否不惜一切代價了。

不能防止別人侵入到你的系統，但是數據是否會被竊取，這方面是可以做文章的。

離開實際需求談安全部署都是耍流氓

首先，這個概念有權威定義嗎？

其次，是否有預定義不清，導致外延與內涵有許多不清晰的地方？

最後，什麼級別的安全是您認為有效防禦？

如果大而化之的談，基本上，大家都是比較安全的，該泄露的早就泄露了，不想泄露的，如果真有人「關心」終究也是泄露的，從這個觀點上看，如果全社會範圍內有一個big brother 大家都是實名裸奔，其實也是一種解決方案。

今天看了篇報告，apt大多是有組織的，而且是長期的，滲透式的。每次攻擊肯定都謀划了好久，包括受害人各方面的信息都掌握的差不多了才有可能發動一次，也就是說每次都是志在必得，而不是廣泛撒網，這就增大了捕獲難度，因為樣本少了。其次，apt中佔比最大的還是魚叉和水坑，然後才是1day和Nday,最後才是佔比最少的0day。(這並不是說apt組織的能力不夠，而是因為每使用一次0day，這個0day就增加了一分被發現的可能，越容易被公開曝光)。由於魚叉和水坑很類似釣魚的手法，更偏重社工類型的攻擊，所以傳統的網路安全設備和本地殺毒軟體都難以判斷。這是apt防禦面臨的最大難題。

是

APT 攻擊都非常的有耐心.

不怕賊偷就怕賊惦記著…

是，一般防範思路是提高攻擊成本。