APT——更高的威脅？

袁 藝 辛 超 向 堅

APT——更高的威脅？

袁 藝 辛 超 向 堅

內容提要：高級持續(xù)性威脅（APT）是當前滲透力和隱蔽性最強的網絡攻擊形式，對網絡安全構成了嚴重威脅。本文通過剖析高級持續(xù)性威脅的主要特點、攻擊機理，提出了強化用戶安全意識、對用戶行為進行信譽評級、重視分析網絡傳出流量、嚴格管控關鍵網絡終端、經常實施攻擊測試、長期跟蹤分析、運用新型網絡安全技術等應對高級持續(xù)性威脅的技術手段和措施。

關鍵詞：軍事情報 信息技術 高級持續(xù)性威脅 網絡攻擊 ［APT］

作者：袁藝，軍事科學院作戰(zhàn)理論和條令研究部博士后，上校；辛超，61906部隊司令部參謀，上尉；向堅，軍事科學院院務部警勤連連長，中尉

隨著信息技術尤其是網絡技術在軍事領域的廣泛運用，制網絡權逐漸成為敵對雙方相互爭奪的焦點。以計算機病毒為代表的網絡戰(zhàn)武器越發(fā)受到人們的青睞。APT就是在這種環(huán)境下“撲面而來”的。

何方神圣

APT是“高級持續(xù)性威脅”（Advanced Persistent Threat）英文的首字母縮寫，具體是指組織（特別是政府）或者小團體使用先進的網絡攻擊技術和手段，對國防、能源、電力、金融等關系到國家核心利益或國計民生的關鍵業(yè)務網，進行長期持續(xù)性滲透攻擊的一種網絡攻擊形式。APT具有三個基本特征。

一是威脅的水平很高級。APT攻擊者絕不是民間閑來無事進而炫耀技術的黑客，也不是只為攫取經濟利益的網絡犯罪分子，而是由政府或組織資助、支持的團隊，甚至直接就是隸屬于某個政府或組織的秘密部門。攻擊者通常都有一個精心策劃、構思縝密的特定攻擊策略，并充分利用包括病毒、木馬、網絡釣魚、社會工程學等在內的各種技術和非技術手段。APT攻擊具有明確的目的性和針對性，其攻擊對象是政府部門、國際組織、大型企業(yè)等高價值目標，而不是一個無關緊要的普通網民。

二是威脅具有可持續(xù)性。如前所述，由于APT攻擊對象通常是防護嚴密的內部網絡，攻擊者在攻擊觸發(fā)前，會進行為期幾個月甚至數年的精心準備，反復運用各種黑客技術或社會工程學手段，從目標網絡相對容易著手的“邊界”開始滲透，逐步熟悉目標網絡環(huán)境，搜集應用程序與業(yè)務流程中的安全漏洞，刺探定位關鍵信息的存儲位置與通信方式，一旦時機成熟，就會發(fā)動關鍵一擊，實施破壞或竊取重要情報，需要時也可長期潛伏，持續(xù)獲取情報。當然，這種“可持續(xù)性”并不否認攻擊者會采取多點入侵方式，并采用自動化的專業(yè)攻擊程序，以提高攻擊速度和成功率，盡快達成攻擊目的。

三是隱蔽性極強。APT攻擊者通常是利用目標網絡中受信任的應用程序漏洞來形成所需攻擊路徑，并借助僵尸網絡以掩蓋攻擊源。攻擊程序還會不斷重新編譯和利用加密來逃避檢測，盡可能以假亂真，在合法流量的掩蓋下行動，以至于許多網絡安全設備和軟件根本無法分辨出來。

經典案例

APT雖然尚處于“幼年期”，但卻早已是“熟悉的陌生人”。很多著名的網絡攻擊案例中都能找到它的影子。

“震網”病毒攻擊伊朗核設施就是APT攻擊的代表作。《紐約時報》曾稱，“震網”是“迄今為止，最復雜的網絡武器，其目的是破壞別國基礎設施”。著名的計算機代碼分析專家郎格爾也認為，“震網”是一個異常高級的計算機病毒，僅用于實現控制功能的代碼量就高達1.5萬行，開發(fā)這樣的病毒必須舉一國甚至幾國之力并花費數年時間才能完成，僅憑幾個黑客要想開發(fā)這種病毒無異于癡人說夢。“震網”病毒是一個智能化的主體，它可以利用眾多的全新漏洞，通過潛伏在U盤中進行傳播，無須聯接互聯網，便可在工廠內部計算機系統(tǒng)之間穿行。只要電腦操作員將被病毒感染的U盤插入USB接口，這種病毒就會在不需要任何操作的情況下，取得電腦系統(tǒng)的控制權，這使得“震網”病毒的潛伏和傳播都具有極佳的隱身性。據美國國家實驗室一項秘密評估稱，“震網”在對伊朗核設施實施攻擊前已經潛伏在其核程序中達兩年之久。

2012年5月，一種名為“火焰”的病毒瘋狂來襲，一時震驚全球。其實，“火焰”病毒也是APT家族中的重要一員。“火焰”病毒是一種后門程序和木馬病毒，同時又具有蠕蟲病毒的特點，它的部分特征與“震網”病毒相似，但結構更復雜、危害更大。“火焰”病毒文件所占內存達20兆，其代碼打印出來的紙張長度可達2400米，程序代碼量是“震網”病毒的20倍、普通商業(yè)信息盜竊病毒的100倍，包含大約20個程序模塊。如此多的代碼用緊湊的編程語言進行編寫，可便于更好地隱蔽，并已經成功規(guī)避100多種殺毒軟件的查殺。國際電信聯盟向聯合國成員國發(fā)出警告，稱“火焰”病毒是迄今最為強大的間諜工具。政府機構、大型企業(yè)的電腦系統(tǒng)一旦被感染，將迅速蔓延，面臨機密信息泄露的風險。據了解，這種神秘病毒的危害程度超過了已知的其他任何一種電腦病毒，可實施包括檢測網絡流量、截獲屏幕畫面、記錄音頻對話、截獲鍵盤輸入等一系列復雜行動，被感染系統(tǒng)中所有數據都能通過鏈接傳到病毒指定的服務器，讓操控者一目了然。

此外，以谷歌和其他大約20家大公司為目標的“極光”攻擊，針對美國政府、聯合國、國際紅十字會等組織，以及軍工企業(yè)、能源公司、金融公司等企業(yè)的ShadyRAT攻擊等，也都是APT攻擊的典型案例。

如何應對

由于APT的復雜性和多樣性，傳統(tǒng)的嚴控網絡邊界的防御方法效果甚微，必須采取新的防御策略，擴大防御縱深，加強計算機網絡的安全防護。

一是強化用戶安全意識。“你不能阻止愚蠢行為發(fā)生，但你可以對其加以控制。”很多APT攻擊往往通過引誘用戶點擊他們不應理會的鏈接侵入網絡。限制沒有經過適當培訓的用戶使用相關功能，能夠降低整體安全風險，這是一項需要長期堅持的措施。

二是對用戶行為進行信譽評級。傳統(tǒng)網絡安全解決方案采用的，是判斷行為“好”或“壞”進而“允許”或“攔截”之類的策略，而APT攻擊在開始時偽裝成合法流量進入網絡，得逞后再實施破壞。因此，需要對用戶行為進行跟蹤，并對其進行信譽評級，以確定其合法性。

三是重視分析網絡傳出流量。傳統(tǒng)的網絡防御重視通過分析判斷傳入流量，以防止和攔截攻擊者進入內部網絡，這對于截獲某些攻擊還是有效的，但對于APT，傳輸流量則更具危險性。如能有效監(jiān)控分析網絡傳出流量，更易于檢測到異常行為，并對機密信息的外泄實施攔截。

四是嚴格管控關鍵網絡終端。攻擊者通常只將入侵網絡作為跳板和起點，其最終目的是要竊取關鍵網絡終端中的數據信息。要想有效控制風險，防止核心機密信息泄露，嚴格管控網絡終端仍是一項長期有效的保護措施。

五是經常實施攻擊測試。聘請經驗豐富的黑客和技術專家，模擬不明攻擊者對內部網絡反復進行攻擊測試，從中發(fā)現系統(tǒng)漏洞和管理隱患，并綜合采取各種技術和管理措施進行彌補，就能大大提高內部網絡的安全性能。

六是進行長期跟蹤分析。這是應對APT攻擊“持續(xù)性”的有效方法。對于關鍵業(yè)務部門或單位，在網絡安全記錄審查方面，除日報、周報、月報外，時間更長的季報甚至年報所呈現出來的攻擊趨勢更為重要。APT攻擊絕不是一次偶然或孤立的單一事件，應對盡可能長的網絡安全記錄進行持續(xù)跟蹤觀察，從中捕捉發(fā)現APT攻擊的蛛絲馬跡。

七是采用新型網絡安全技術。當前，網絡安全技術也在不斷發(fā)展，“云安全”技術就是防御APT攻擊的一種重要手段。傳統(tǒng)的網絡實時監(jiān)測和管理工具，都是針對不同的網絡平臺，因為要審查所有事件和日志往往效率較低，這就給了攻擊者更多的時間和機會實施入侵。如果利用“云安全”架構，將各種網絡安全基礎設施統(tǒng)一管理，并將網絡安全報表和日志整合起來進行系統(tǒng)分析，能大大提高對APT攻擊的發(fā)現概率。

當前，APT已經成為網絡安全領域的一個熱詞。由于它并非小打小鬧，一旦攻擊成功便會造成嚴重的危害和損失，從而對被攻擊國家的網絡安全構成嚴峻挑戰(zhàn)，因此愈發(fā)引起世界各國的廣泛關注。

如果說每一次敲擊鍵盤就等于擊發(fā)一顆子彈，每一塊CPU就是一架戰(zhàn)略轟炸機的話，那么，實施APT攻擊就好比在網絡領域發(fā)動核攻擊。鑒于其巨大的作戰(zhàn)運用潛力和極強的計算機網絡破壞力，在不久的將來，APT必將成為一個異常火爆的明星，在網絡領域勇擔“撒手锏”的角色。

（責任編輯：何 荷）

簡 訊

山東省高唐縣定向招聘退伍大學生

近兩年，山東省高唐縣通過定向招聘，有36名退伍大學生經過層層選拔，順利錄用到事業(yè)單位，占報考人數的35.3%。該縣人武部以“拓寬退伍大學生的就業(yè)渠道”為重要抓手，同縣委、縣政府聯合制定了《高唐縣高校畢業(yè)生退役士兵優(yōu)待安置暫行辦法》。每年公開招聘事業(yè)單位工作人員時，預留崗位定向招聘三年內退伍的大學生士兵，并對高學歷、立功、優(yōu)秀士兵、任班長職務、參加重大平暴和救災行動的，給予相應的加分。報考人員通過筆試、資格審查、面試、體檢和政審后，按照總成績擇優(yōu)錄用，得到用人單位和退伍大學生的一致好評。該舉措為進一步做好新形勢下征兵工作創(chuàng)造了條件。

（李澤新 陶玉棟）

中圖分類號：E9

文獻標識碼：B

文章編號：ISSN1002-4484（2015）04-0079-03