先回顧一下，最早有關(guān)APT類攻擊的報(bào)道就是2010年伊朗核設(shè)施遭遇Stuxnet——超級工廠病毒攻擊，造成伊朗核電站推遲發(fā)電。2011年索尼、RSA、洛克希德•馬丁公司……相繼遭遇有針對性攻擊。去年安全技術(shù)公司nCircle進(jìn)行的一份調(diào)查咨詢了563名IT安全專家，16%的受訪者將APT列為了自己2011年最大的安全顧慮。有報(bào)告稱，每日針對性攻擊數(shù)量由2010年底的77次增加到了2011年底的82次。

　　這類有針對性攻擊的持續(xù)出現(xiàn)，意味著網(wǎng)絡(luò)惡意攻擊正在愈加職業(yè)化、有組織化，并正在具有商業(yè)犯罪、軍事攻擊、恐怖襲擊等高級屬性。雖然現(xiàn)在安全業(yè)界已經(jīng)有了一些防御思路，但人們也不得不承認(rèn)的是“阻止APT攻擊，實(shí)在太難了……”

　　APT不是炒作，APT是一種攻擊的類型。其主要針對經(jīng)濟(jì)、軍事、情報(bào)發(fā)起有針對性的攻擊，它可以在目標(biāo)系統(tǒng)里潛伏很長時(shí)間。為了發(fā)起APT攻擊，攻擊者會進(jìn)行針對性的資料搜集，對被攻擊目標(biāo)進(jìn)行詳盡的分析。攻擊者對于各類網(wǎng)絡(luò)技術(shù)、安全技術(shù)都十分熟悉。

　　APT攻擊與傳統(tǒng)攻擊不同，傳統(tǒng)攻擊方式在正常的系統(tǒng)里非常明顯，很容易被識別。而APT攻擊則完全將自身融入到正常系統(tǒng)里，極其難于被檢測發(fā)現(xiàn)。

　　APT攻擊在早期的攻擊階段，也就是準(zhǔn)備階段、進(jìn)入攻擊的初期階段，其更注重隱藏性。這就像疾病的初期，沒有很明顯的征兆。然而當(dāng)疾病暴發(fā)時(shí)——也就是當(dāng)APT發(fā)現(xiàn)(等到)了攻擊目標(biāo)時(shí)，在APT發(fā)起攻擊動(dòng)作后，其就會與整個(gè)系統(tǒng)格格不入。這也正是進(jìn)行APT防御的最佳時(shí)機(jī)，也是攻擊者與防御者爭分奪秒的時(shí)候：如果攻擊者搶先一步實(shí)現(xiàn)完整的攻擊，那么被攻擊者將損失巨大;如果防御者能夠在及時(shí)發(fā)現(xiàn)攻擊者動(dòng)作后，搶先一步實(shí)現(xiàn)防御阻斷，那么就能避免可能的損失，使得APT攻擊功虧一簣。

　　說起來似乎很簡單，但實(shí)際操作起來太難了。

　　要想防御APT有針對性攻擊，需要對整個(gè)網(wǎng)絡(luò)進(jìn)行不間斷性的監(jiān)控，進(jìn)行網(wǎng)絡(luò)情報(bào)分析，而這里將涉及大量結(jié)構(gòu)化數(shù)據(jù)、非機(jī)構(gòu)化數(shù)據(jù)。所以目前來看，網(wǎng)絡(luò)情報(bào)分析僅有大型機(jī)構(gòu)才有條件、有能力進(jìn)行。而進(jìn)行情報(bào)分析并不意味著就能發(fā)現(xiàn)攻擊痕跡，網(wǎng)絡(luò)情報(bào)分析意味著為發(fā)現(xiàn)APT攻擊提供一種可行的方法。比如對于“匿名者”這類惡意攻擊組織，可以針對其攻擊行為進(jìn)行調(diào)研分析，發(fā)現(xiàn)其攻擊特征，提前進(jìn)行防御。這需要將網(wǎng)絡(luò)情報(bào)的分析連接起來，而只有技術(shù)非常進(jìn)步的公司才能做到這一點(diǎn)。這需要借助于云計(jì)算等技術(shù)來對大數(shù)據(jù)量的情報(bào)進(jìn)行分析，爭取更早的發(fā)現(xiàn)APT攻擊的痕跡，進(jìn)行更早的防御、反擊。

　　如果企業(yè)即將作出的某個(gè)決策可能吸引黑客組織的注意，那么企業(yè)的風(fēng)險(xiǎn)管理部門是應(yīng)該讓安全團(tuán)隊(duì)保持警惕，還是應(yīng)該否決這項(xiàng)業(yè)務(wù)呢？如果企業(yè)的某個(gè)決定不會由于黑客攻擊給企業(yè)造成巨大損失，那么企業(yè)的風(fēng)險(xiǎn)管理團(tuán)隊(duì)?wèi)?yīng)該盡快考慮如何加強(qiáng)安全防范——從真實(shí)的人到虛擬的網(wǎng)絡(luò)。在黑客專業(yè)的網(wǎng)絡(luò)攻擊面前，網(wǎng)絡(luò)安全將不僅僅局限于網(wǎng)絡(luò)自身，還將涉及網(wǎng)絡(luò)在現(xiàn)實(shí)世界里的延展。