高级长期威胁

高级长期威胁（英语：advanced persistent threat，缩写：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其获取数据。威胁则指人为参与策划的攻击。^[1]

APT发起方，如政府，通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁，尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动，^[2]但也适用于传统的间谍活动之类的威胁。^[3]其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人，如个人黑客，通常不被称作APT，因为即使个人有意攻击特定目标，他们也通常不具备高级和长期这两个条件。^[4]

历史

2005年时，英国及美国的一些计算机应急响应组织发布报告，提醒人们注意某些针对性的钓鱼电子邮件会释放木马，外泄敏感信息，但“APT”一词还未被使用。^[5]普遍认为“高级长期威胁”这个术语是在2006年由美国空军创造，^[6]而格雷格·拉特雷上校一般被认为是该术语的发明人。^[7]

震网蠕虫是APT的一个例子，此蠕虫专门针对伊朗核设施的电脑硬件。此事件中，伊朗政府可能就把震网蠕虫的创造者视为一个高级长期威胁。

在计算机安全社群及媒体中，此术语常指针对政府、公司、政治活跃分子的长期而复杂的黑客攻击，也指发起这些攻击幕后团体的活动特征。日趋频繁的高级长期威胁（APT）可能会逐渐只用于指代计算机黑客入侵。据《PC World》杂志统计，从2010年到2011年，针对性的高级电脑黑客攻击增长了81%。^[8]

术语

APT并无准确定义，但总体可归纳如下：^[3]^[4]^[9]

高级：威胁的幕后操纵者对情报收集技术有着全面的掌控能力。其中可包括电脑入侵技术和传统情报收集技术（如电话监听技术、卫星成像技术）。攻击中使用的各个组件本身可能并不能算特别“高级”（例如，利用公开的恶意软件生成工具生成的恶意软件，或是一些容易获得的漏洞利用材料），但是操纵者往往可以按需开发出更高级的工具。他们一般会使用多种针对方式、工具和技术以入侵目标，并保持访问权限。操纵者也可能会特别注意行动中的安全，这一点和“不那么高级”的威胁有所不同。
长期：操纵者注重一个特定的任务，而不是盲目搜寻信息。这一区别暗示攻击者受到外部力量指示。为了达到预定目的，攻击者会持续监控目标，并做出反应。这并不表示攻击者会经常发动攻击、频繁更新恶意软件。事实上，“放长线”的方法会更为成功。如果操纵者失去了对目标的访问权，他们一般会重新尝试入侵，也往往会成功。操纵者的目的之一就是对目标保有长期的访问权，而不是一次性的访问权。
威胁：APT之所以成为威胁，是因为发起方既有此能力，又有此意图。APT攻击是由一群有组织的人发起的。操纵者有特定的目标，且技术精湛、资金雄厚。

特点

Bodmer、Kilger、Carpenter和Jones的研究将APT的标准定义如下：^[10]

目标 – 威胁的最终目标，即你的对手
时间 – 调查、入侵所花的时间
资源 – 所涉及的知识面及工具（技能和方法也有所影响）
风险承受能力 – 威胁能在多大程度上不被发觉
技能与方法 – 所使用的工具及技术
行动 – 威胁中采取的具体行动
攻击源头 – 攻击来源的数量
牵涉数量 – 牵涉到多少内部或外部系统，多少人的系统具有不同重要性
信息来源 – 是否能通过收集在线信息识别出某个威胁

趋势科技定义 APT 基本要素与特点如下：

基于经济或竞争优势
时间长期、持续、多个阶段的攻击
目标针对特定公司、组织或平台
多元攻击方式包括假冒信件、现成与客制化恶意软件、远端控制工具、将机密敏感资料外传

生命周期

APT的幕后黑手会对组织团体的金融财产、知识产权及名誉造成持续变化的威胁，^[11]其过程如下：

因一个目标开始盯上特定组织团体
试图入侵到其环境中（如发送钓鱼邮件）
利用入侵的系统来访问目标网络
部署实现攻击目标所用的相关工具
隐藏踪迹以便将来访问

缓解策略

恶意软件的变种数以千万计，因此要保护组织团体免于APT攻击极为困难。虽然APT活动十分隐蔽，但与APT相关的命令与控制网络流量却可以在网络层由精密的方法检测。深入的日志分析和比对有助于检测APT活动。尽管要从正常流量中分离出异常流量有一定难度，但这一工作可以借助完善的日志分析工具来完成，以便安全专家调查异常流量。^[1]

终端使用者

不随意开启未知来源的邮件附加档案
安装已知品牌软件，定期系统更新，安装扫描病毒软件并定期扫毒

企业资讯人员

建立监控软件，寻找是否有可疑终端电脑或装置
使用多层次资安防御软件，加强防护纵深
订立企业内部敏感资讯的监控与存取政策
教育员工关于社交工程的资讯安全意识

参考文献

↑ ^1.0 ^1.1 https://www.cademia.edu/6309905/Advanced_Persistent_Threat_-_APT^{[永久失效链接]}
↑ Anatomy of an Advanced Persistent Threat (APT). Dell SecureWorks. [2012-05-21].
↑ ^3.0 ^3.1 Are you being targeted by an Advanced Persistent Threat?. Command Five Pty Ltd. [2011-03-31].
↑ ^4.0 ^4.1 The changing threat environment .... Command Five Pty Ltd. [2011-03-31].
↑ Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (PDF). Lockheed Martin Corporation Abstract. [2013-03-13].
↑ Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF). SANS Technology Institute. [2013-04-14].
↑ Introducing Forrester's Cyber Threat Intelligence Research. Forrester Research. [2014-04-14].
↑ Olavsrud, Thor. Targeted Attacks Increased, Became More Diverse in 2011. PCWorld. [2015-01-22].
↑ What's an APT? A Brief Definition. Damballa. 2010-01-20 [2010-01-20].
↑ Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9, ISBN 978-0-07-177249-5
↑ Advanced Persistent Threats: Higher Education Security Risks. Dell SecureWorks. [2012-09-15].

延伸阅读

参见

[academia.edu-1] 1.0 ^1.1 https://www.cademia.edu/6309905/Advanced_Persistent_Threat_-_APT^{[永久失效链接]}

[Dell_SecureWorks-2] Anatomy of an Advanced Persistent Threat (APT). Dell SecureWorks. [2012-05-21].

[Command_Five_Pty_Ltd-3] 3.0 ^3.1 Are you being targeted by an Advanced Persistent Threat?. Command Five Pty Ltd. [2011-03-31].

[commandfive.com-4] 4.0 ^4.1 The changing threat environment .... Command Five Pty Ltd. [2011-03-31].

[5] Eric M. Hutchins, Michael J. Clopperty, Rohan M. Amin, Ph.D. Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains (PDF). Lockheed Martin Corporation Abstract. [2013-03-13].

[6] Assessing Outbound Traffic to Uncover Advanced Persistent Threat (PDF). SANS Technology Institute. [2013-04-14].

[7] Introducing Forrester's Cyber Threat Intelligence Research. Forrester Research. [2014-04-14].

[8] Olavsrud, Thor. Targeted Attacks Increased, Became More Diverse in 2011. PCWorld. [2015-01-22].

[9] What's an APT? A Brief Definition. Damballa. 2010-01-20 [2010-01-20].

[10] Bodmer, Kilger, Carpenter, & Jones (2012). Reverse Deception: Organized Cyber Threat Counter-Exploitation. New York: McGraw-Hill Osborne Media. ISBN 0-07-177249-9, ISBN 978-0-07-177249-5

[11] Advanced Persistent Threats: Higher Education Security Risks. Dell SecureWorks. [2012-09-15].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]