APT 攻擊的概念是否存在過度炒作？

01-04

近兩年安全界出現越來越多APT(Advanced Persistent Threat)的概念，甚至很多安全廠商都推出號稱專門防禦APT攻擊的產品。這是為了拿下市場份額的過度炒作嗎？
---------
本題已收入知乎圓桌 ? 白帽黑客與安全，歡迎關注討論。

每個概念出來你留意會發現都伴隨著炒作，這個現象沒啥奇怪，有些人初次經歷大驚小怪也很正常。

商業需求在最前面，技術在後面填坑，這之間的差距造成了過渡炒作。

原諒為了拿下市場份額的炒作吧。

最終不要泡沫就好。

好像zhihu有個謝邀的陋習，我也嘗試陋習一把先！！！

不完全同意@大風的觀點，完全不同意@江南引用的「周老闆的觀點」。

屌絲公司可能也有高富帥的客戶，很多的APT都是走的曲線救國路線，直接搞不定高富帥，那就從高富帥身邊的屌絲朋友入手。

APT是客觀存在的，存在這樣的攻擊就有防禦產品的市場。目前來看主要鬱悶的是很多單位、公司可能被人搞了，還自以為很安全... 人家老外曝個料，就開始大驚小怪！

至於「周老闆的觀點」就是純「奸商」的觀點（過份的泡沫和忽悠是不對的！），「讓用戶覺得安全」與「讓用戶真正安全」並不矛盾。你可以把「讓用戶覺得安全」最為用戶體驗，而把「讓用戶真正安全」比喻產品技術能力，個人認為2者兼備、和諧發展才是正途！！

我簡單說說自己的看法，但不一定很有幫助（覺得不好的同學可以點反對+舉報+沒有幫助）。

首先，APT攻擊感覺不是一個全新的概念，它讓我想到 Slow Scanning Attack。根據James Stanger的描述，「大多數聰明的對攻擊網路感興趣的人在第一次計劃攻擊網路時，會慢慢且謹慎地工作，網路映射不必在幾秒鐘或幾分鐘內實現。在一個月或更長的時間中，一個黑客可能秘密地向多種網路系統的埠發出信息包，將回應存儲在資料庫中。一段時間後，便能夠得到一個完整的網路示意圖」。現在，只有一部分入侵檢測系統IDS能夠比較有效地發現問題，而且也依賴日誌審計。日誌審計，我擔心在大多數公司，不會非常認真的對待。即使這家公司重視到了僱傭有資質的人員的程度，也不太可能發現這些隨機又看起來無害的請求。

第二，APT攻擊可以理解是各種日常攻擊的組合，當然，隨意的加在一起不是APT攻擊，而是各種攻擊能夠提供進一步的資源，去實行更深的攻擊。如果我們考慮「部分」API攻擊，那麼每天都在頻繁的發生。對於一個黑盒系統，很多有興趣的安全人員，都可以發現一些不痛不癢的問題，如果他不打算送烏雲，而打算以後留著，那也許最後那天玩的時候派的上用場。例如，一個人獲得了內部某員工的郵箱帳號，顯然，他可以利用這個對其他員工進行clickjacking等web攻擊，或者直接傳送免殺的軟體安裝程序木馬（例如業務需要的軟體）。或者，他的另一個選擇就是靜待時機，慢慢閱讀公司裡面的郵件，收集信息。我打賭這不是一件對技術要求多高的事情。關鍵反而是，API攻擊涉及太多的社會工程學，這是攻擊的一個重要部分。而社會工程學是許多安全人員儘可能避而不談的一件事情。

第三，對抗APT攻擊，至少要先做好員工培訓。應該從他們入職的時候，就有系統的訓練，告訴他們什麼東西要小心，什麼不能隨意相信，至少把密碼改得複雜一點，遵守哪怕是一點點密碼策略。或者說不許他們隨意開wifi熱點，U盤要用加密的防毒的，手機有個掛鎖放在工位上，別輕易被別人弄走，出去外面也不要隨意連wifi熱點然後進公司的網。大多數的APT攻擊，不可能整天研究某種策略，能一下子攻下大多數的終端機器、伺服器。多數都是利用短平快的方法去獲得資源，比如看有沒有沒有裝好補丁的機器啊，有沒有員工的密碼已經泄漏了啊。我打賭，APT攻擊特別容易留下痕迹，關鍵是大多數公司不重視。畢竟用APT攻擊的人，也不是想黑掉首頁掛個名字的，而是想一步步深入首領部，獲得商業文件，交代任務的。

第四，APT攻擊的一個關鍵是監管，但國內企業目前不太可能為安全管理騰資源。前面說了手機掛個鎖，然後手機至少有個鎖屏保護，電腦的屏保要輸密碼，密碼要複雜一些，不允許網路內有奇怪的軟體運行（這樣才可以設置blocking all except ...這樣的防火牆策略），密碼要定期更換有密碼歷史有複雜度要求，重要會議手機不要帶進去。這些都是得罪人的。不許一個中層領導上班開一小會QQ遊戲大廳，不許一個40多歲的職員用自己的電話號碼做密碼，不允許領導開會時哪怕上會知乎，這些事情瞬間就讓人覺得很不自由。現在很多企業就講究寬鬆的氣氛，不可能每天假想對手公司早已經打入內部，整天探查牆裡面有沒有竊聽器，激光印表機的硒鼓裡面有沒有發射器，但是說實話，我都把這些手法說出來了，擺明著都是發生過的事情了。儘管風險在著，做安全的人不可能一意孤行地推行安全策略。如果沒有事先和各個部門溝通，照顧他們的業務需要，那麼整天活得像個紀律檢查委員會的，也不舒服。Vincent LeVEQUE的Information Security - A strategic approach，特別指出了安全策略中的監管部門，要照顧、了解 organization culture with respect to planning, controls, and technology，還有values and priorities of the executives whose support is critical to the plan"s success。要有效對抗APT，關鍵是我國的申論考試萬能八條：

1、領導重視、提高認識;

2、加強宣傳、營造氛圍;

3、教育培訓、提高素質;

4、健全法規、完善制度;

5、組織協調、形成機制;

6、增加投入、依靠技術;

7、依法監管、全面落實;

8、總結反思、借鑒經驗。

第五，我一貫的風格是強調內部攻擊，在APT上更是如此。商業間諜如果真要做出成績，怎麼也得進人家的公司。想像一家金融公司裡面進了一個背景調查沒有問題的人，而實際上這人有安全功夫，那還得了。內部人員本身就非常了解內部系統的結構，就算是憑一點興趣，他也很可能自己發現公司運行中的一些小bug。如果只是因為個人興趣，那麼最多也就是泄漏了解僱名單，有的員工在解僱前就沒把心思放在工作上。而如果是因為利益，那麼他隨便轉發一兩份內部文件，也不要用特別複雜的單線聯繫的奇怪方法，直接發郵箱就可以了，費勁打個壓縮包帶加密。我國一大堆國防半公開的資料就是這麼走出去的。最嚴重的是，如果是因為仇恨，怎麼辦？公司突然說要裁員，或者停薪水，這些影響不太好的政策，隨時可能激發一兩人的氣。這些人本身就是一個APT，要是出了事太難管了。所以，在公司用人上，公司要有比較多的考慮。至少簡單的背景調查，然後多拉出去聚會，開party，建生活群，方便了解員工生活，然後職務有一定的變動，比如幾個月會換崗位，再不然就是強制休假。這些制度的殺傷力比XSS攻擊要厲害多了。

第六，如果涉及到軍事活動，我覺得通過網路來攻擊是比較不科學的，因為我國的國防單位，可能在具體的安全技術上不比科學界領先，或者坦白說，我國軍方就是沒有什麼特別bug的安全技術。但是我國軍方，至少在物理安全和管理上做的很好，設備隔離、電磁屏蔽干擾、保密通訊，至少都試了。前段時間有一些軍事管理區限制附近的民宅使用wifi，一來是保障部隊某些通訊，二來也就是維護部隊的紀律。但是，軍方遭到APT攻擊也不是不可能，但如果費一樣的勁去對付軍方的網路，不如國家安全部隊去策反好了。人，在太過複雜的信息安全問題中，是關鍵的因素。

我可能沒有非常準確回答問題，我總結一下我的觀點：

APT 早就存在了，現在提起這個概念不是壞事，有利於信息安全轉向更實際的方向，更加重視終端安全。對於小企業、個人、小網站，APT 還是太尊貴了，感覺 APT 算是主席一揮手，團結大進軍這個級別了。

再黑一下360，如果說誰能讓許多中國網民放棄弱密碼，我看也就是360。如果他能普及中文密碼（用中文做密碼，我對這樣做的價值有保留意見），或者推廣密碼管理器。如果他真的能把終端安全做遍地，那麼周老闆，還是值得褒揚的。

對於防禦APT這個概念的確有過度炒作，相對其他有模式可循的攻擊方法，APT就靈活很多，防禦比傳統有針對性的攻擊難太多。APT主要是指對入侵方法進行研究，對目標進行集中全方位的攻擊。

要防禦APT攻擊必須要研究每一個關鍵因素（人，機，物）並為每個因素設下防禦措施。現在APT最普遍的攻擊方式就是通過釣魚，鍵盤記錄，社會工程。（包括有段時間很火的擺渡攻擊）

攻擊者會花大量的時間研究間接的目標，如主要工作人員，然後製作一個釣魚信息、頁面、軟體等來得到其各種密碼等信息，從而得到更高層次的內部系統許可權。然而目前的解決方案完全不足以應對釣魚攻擊。對此必須要能夠確保各人員進入系統的信息不會記錄到任何其他不合規則的地址中。

再一個鍵盤記錄是APT攻擊必有的攻擊方式，通過記錄各種操作數據能夠收穫到大量目標的信息，從而展開下一步攻擊。因此對於鍵盤記錄的防禦是APT防禦相當重要的一環，即使被感染，也必須保證所有數據不會被記錄。完全不能依靠傳統的病毒軟體來防護，要保證數據mask，還應注意內核級別的記錄器,屏幕捕獲等，都能收集到很多東西。

以上再結合社會工程得到的信息利用，再加上對目標所有行動的密切監視分析所得，相信目前各種保護都不能夠有效的防護APT攻擊，淪陷只是時間的問題。如同很有名的一句，通過管理員的方式，正常的途徑來達到目的，既然是正常途徑，那如何防禦？

我不認為APT是過度炒作，APT我用通俗的講就是：

我要你數據，此伺服器沒漏洞我就研究你其他的伺服器，以此類推，都沒漏洞我就坐等你更新程序。

有點類似我要揍你，今天偷襲不成功，明天繼續蹲坑你。必須揍你

抽空冒泡回答問題：

利益相關：目前正在與高級威脅干架的炮灰

APT這個東西得拆開來看，APT的特點被這三個字母詮釋的淋漓盡致：攻擊手段複雜（Advanced）、持續時間長（Persistent）、高危害性（Threat）。

要想被APT攻擊，首先得具備APT的價值，比如說x國元首、x機密部門核心工程專家、或者x巨頭的ceo，像我們這種價值可以忽略不計的人基本上不會被APT，畢竟沒價值。

但是話雖這麼說，但是本人相信一個觀點：在網路安全面前沒有人會成為倖存者。你沒有價值不代表不會成為被APT的目標，所以普通人還是要關注一下APT的事情。

至於APT的炒作問題，個人認為APT這個概念還真就不是炒出來的。

第一：目前針對APT的報告大多數都是有背景做支撐的，看報告的時候一定要注意背景而非技術細節，比如說昨天又出來溜達的某過氣APT組織x蓮花，針對的目標並不是一般的公司或者是企業，而是xx局（和諧了），這樣一來性質就完全變了，攻擊者很可能就是為了長期竊取情報或者是數據，按嚴重程度上來看的話，這個層面著實影響不低了，這就是為什麼看問題一定要結合背景來看。

第二個不是炒作的原因是因為APT的高複雜性也是需要相當高的技術能力才能發現的，APT樣本的逆向分析工作簡直讓你欲哭無淚，由於某些眾所周知的原因不能和大家分享逆向APT樣本的心酸過程。

第三個原因也是最重要的原因，17年其實算是網路安全攻擊套路變化的一年，未來的網路戰很可能就是去攻擊基礎設施，讓你領不了結婚證、取不了錢、用不了水電、加不了油甚至是失業。這時候網路重保布局就顯得尤為重要，因為一旦涉及到民生層面了，必然會受重視，所以讓對方掌握自己更少的數據也變得異常必要，不然打起網路戰，人家APT了你好幾年了，各種布局全都知道了，跟摟草打兔子一樣簡單。

APT這個概念，還真不是炒出來的

p.s. 高級威脅其實和APT是包含關係，一般來說APT只是高級威脅的一種，比如大家常說的滲透測試其實相對甲方而言的話也算高級威脅，但是滲透測試並不具備高持續性，但APT一旦被發現你很有可能被搞了幾年了。

越是高富帥的公司、單位，越需要APT防禦，但被教育的力度還遠遠不夠；經常是被黑了都不知道，過了幾年才從小道消息知道原來被黑了。

越是屌絲的站，越不需要APT。

古典藝術APT發展的頂峰毫無疑問是Duqu和Stuxnet。從某種意義上來說，這兩個東西其實是代表了兩個極端，Duqu是維特根斯坦，一劍封喉，內核漏洞唯快不破，而Stuxnet則是柏拉圖，絲絲入扣，大量漏洞互相配合。這兩個真正意義上APT的出現，宣告了一個時代的來臨，但很遺憾地也宣布了這個時代註定不屬於大宋。因為主觀上，這種團隊合作和組織協調在我宋還沒有出現的土壤，客觀上，神洞或者一堆神洞的可能性已經很小了，加上現在基本上是老一代中年危機，新一代打醬油的時期，APT中的T問題不大，但A真是很難，P就更談不上了。

燒博士14年的文章說的就很明白了

後現代藝術：解構主義APT | 0x557

APT相當於升級版的社會工程學攻擊。

A高級：使用了各種技術，特別是0 day漏洞利用

P持久的：持續很久，隱蔽的，被動的攻擊（監聽）

T威脅。

個人感覺有炒作概念，早就有這麼乾的，又不是新技術。小毛賊能偷誰家就偷誰家，偷一家是一家，而大盜瞄著大戶偷，非偷成了不行，一直惦記著直到成功，所以稱apt為技術不準確更應該是策略，窮盡所有手段直到拿下目標。

就大戶的防禦而言，難度確實大，人是核心要素，對精通社工的攻擊者而言總是能找到弱點的。技術是基礎支撐，但一般不是決定作用，除非攻擊防禦技術有代差。

我兩年前就寫過，再寫一遍：

apt是個框，什麼都往裡裝。

哪位有本事把p講清楚，再來跟我辯。

扯了半天就是a，而且a根本沒有準確的定義。

哪位真正見過p？？？舉個例子出來？？

認可@黑哥的說法。順便補充下我個人認識的APT。

1、APT只是一個攻擊的持續與方式多樣化

2、持續：我把它看作一群人長期的、目的性明確的攻擊某點

3、方式：我把它比喻成a、b、c等多個黑客用不同的手法攻擊一個點

總的說，APT本身有誇大我是不同意這種說法的。但某些安全廠商的炒作那只是一種營銷手段，也並沒有對APT誇大或神化之說，最少目前沒有。APT是一個「持續時間長目標明確」的一個攻擊手段，但並不是一個「目標明確持續時間長」的手段。建議查看「伊朗」。

毫無疑問，是。

看著知乎很多安全界相關人士吃著apt的飯替apt說話，本身就逃不出利益干係，又有何必要大談特談？

apt本身就是概念炒作。

首先，apt的提出並沒有對攻擊手段帶來根本的改變，apt之前什麼套路，apt之後大致也是這個套路。

其次，apt的各要素，本身就是傳統攻擊和滲透一直在踐行而且重視到的。

所謂apt防護，和以前所謂智能放火牆，有什麼區別？

毫不客氣的說，以前沒有概念的時候的一款優秀的防火牆，拿到現在，就是一款優秀的apt防禦工具。

其實是國內反應太慢了，可以去看下美帝軍工巨頭lockheed martin當時被攻擊的處理報告，這種及時的反應能力不是安全人員的直覺，而是一款好的智能防火牆。

必須炒作啊 apt 我個人理解是持久性的一種攻擊可以是一年可以是10 年甚至更久你怎麼防範？其中就包括社工了社工怎麼防？你自己安全做的很好意識強你總會有豬一樣的隊友會被出賣的

防禦APT攻擊的產品，這是為了拿下市場份額的過度炒作嗎？

完全同意這句話，APT攻擊說到底就是攻擊模式無非就是從員工或客戶入手逐步擴展到內網再到核心數據，並非一些軟體或者硬體造成，然而對黑客有用的數據（換句話說，也就是一些大公司），他們需要做的就是培訓再培訓，然而還是被黑，再被黑，我個人見過有很多黑客他們都是用APT攻擊來突破，原因很簡單，就是能省去很多麻煩，掌握了內網的一台PC，就很容易得到控制整個域的許可權。

總結，APT攻擊的需要的不是防禦產品，而是需要加強對核心員工的安全培訓。

世界上最大的APT就是美國，想了解皮毛的去找斯諾登，想對付的去把國內所有的windows、cisco、citrix什麼的都開發出自主閉源版本，想賺不懂概念還人傻錢多公司團體錢的就繼續炒作概念。

郵箱XSS探針定向exp 從外圍員工慢慢滲透入內網

未來APT的攻擊強度將取決於APT防禦產品的營收