APT 的全称是什么

APT：高级持续性威胁

APT 代表高级持续性威胁。

一种复杂、持续的网络攻击，称为高级持续性威胁 (APT)，当入侵者在不被发现的情况下进入网络并在其中停留很长时间以窃取敏感数据时发生。

APT 攻击经过精心策划和创建，旨在绕过现有的安全措施，渗透到特定公司并避免被发现。 与尽可能快地进出不同，大多数 APT 攻击旨在获取并保持对目标网络的持续访问。APT 攻击可能需要大量的时间和金钱才能完成。

因此，黑客通常会选择高价值目标，例如国家和大型企业，以随着时间的推移收集数据。APT 组织通常会利用零日攻击的复杂利用、专门设计的鱼叉式网络钓鱼以及其他技术来获取系统访问权限。

威胁行为者使用复杂的规避技术来在不被发现的情况下保持对目标网络的控制。他们经常更改恶意程序来做到这一点。一些 APT 的技术非常先进，以至于维护受恶意软件感染的目标网络上的硬件和软件需要全职管理员。

使用高级持续性威胁的攻击者有多种目标。例如，由国家支持的攻击者可能以专有信息为目标，以在某些行业获得优势。

选举和其他政治目标、媒体、电力和电信公用事业分配以及其他基础设施系统也可能成为目标。APT 可能由有组织的犯罪团伙资助，以收集有助于他们为经济利益犯罪的信息。

即使 APT 攻击很难被识别，但数据泄露也永远不会完全无法追踪。然而，从公司窃取数据可能是网络防御者知道他们的系统正在受到攻击的唯一迹象。安全专家通常侧重于识别传出数据中的异常情况，以确定网络在多大程度上遭受了 APT 攻击。

高级持续性威胁的主要目标

鉴于发动此类攻击所需的努力，APT 经常针对高价值目标，如国家和大型企业。

这些攻击的主要目标是长期窃取信息，而不是像许多黑帽黑客在小型网络攻击中所做的那样“立即进入然后消失”。各地的企业都应该了解 APT 攻击技术。然而，中小型企业应该认识到这种攻击。

为了攻击大型企业，APT 攻击者越来越多地利用属于目标组织供应链的小型企业。 他们将这些公司用作跳板，因为它们通常防御较弱。

他们将这些公司用作跳板，因为它们通常防御较弱。APT 通常使用 rootkit、漏洞、社交媒体操纵和网络钓鱼来完成此周期。

随着 APT 的普及和公众知名度的提高，安全研究人员将对其进行分类和标记，以尽可能多地了解这些协调的集体行动。APT 的成功主要归因于公司内部缺乏可见性。如果不深入了解基础设施，就很难防御它，因为检测中会出现盲点。例如，如果您知道数据正在被处理，那么识别威胁就更容易了。

理解用户行为也很重要，因为 APT 只需获取必要的凭据并提升权限链就可以造成严重破坏。一种阻止此类损害的方法是能够发现并跟踪用户异常。

针对 APT 的攻击通常包括

• 秘密信息
• 敏感信息，如财务记录
• 识别信息
• 无形资产
• 信息访问权限
• 任何可能用于伤害或威胁受害者的个人数据
• 基础设施信息

APT 如何运作？

APT 攻击的主要目标是维持对系统的访问。黑客会执行五个步骤来完成此操作

• 第一阶段：获取访问权限
• 第二阶段：建立立足点
• 第三阶段：深化访问权限。
• 第四阶段：横向移动。
• 第五阶段：侦察、发现和驻留。

1. 获取入口：APT 组织通过互联网连接的系统发起攻击，从而获得对目标的访问权限。目标通常是通过鱼叉式网络钓鱼电子邮件或应用程序中的漏洞来获取客户的访问权限并用间谍软件对其进行感染。

2. 建立立足点：完成此操作后，威胁行为者会利用其与目标的接近程度进行更多侦察。他们使用安装的恶意软件，创建隐藏的门和通道系统，以便能够秘密移动。APT 可能会使用复杂的恶意软件技术，如代码重写来隐藏其踪迹。

3. 获得更多访问权限：当 APT 攻击者获得对目标网络的访问权限后，他们可以使用解锁密码来获得管理员权限。因此，他们获得了更高的访问级别和对系统的更多控制权。

4. 横向移动：一旦威胁行为者获得了对其目标系统的访问权限和管理员权限，他们就可以在企业网络中自由移动。此外，他们还可以尝试访问网络的其他服务器和安全区域。

5. 准备攻击：黑客聚合、混淆和压缩数据，以便进行窃取。

6. 考虑信息：攻击者收集数据，然后将其传输到他们的数据库。

7. 保持驻留直到被发现：网络犯罪分子有两种选择：要么创建一个后门以便以后再次进入网络，要么不断重复此过程直到他们的活动被识别。

高级持续性威胁的示例

尽管许多研究人员发现了高级持续性威胁攻击，但有些攻击有一个以上的标签。APT 通常由最初发现它们的专业人士命名。

自 2000 年代初以来，已经识别出高级持续性威胁。可以追溯到 2003 年，当时中国黑客针对美国政府目标发起了 Titan Rain 行动，以窃取关键国家机密。

攻击者对政府组织（包括 NASA 和 FBI）的复杂系统发起了 APT 攻击，重点是军事数据。安全专家声称这些攻击是由中国人民解放军实施的。

高级持续性威胁包括，例如

1. Titan Rain (2003)

在美国调查人员称为Titan Rain 的行动中，中国黑客于 2003 年开始了一系列针对美国政府网站的大规模网络攻击，以获取关键国家机密。黑客的目标是像 NASA 和 FBI 这样的组织的高端网络，同时专注于军事数据。

SANS 研究所的科学主管 Adam Paller 声称，鉴于攻击的熟练程度，“如果不是军事组织，任何其他实体都不可能做到这一点。”

这些攻击在美国和中国政府之间造成了一些冲突。许多安全专家将攻击归咎于中国人民解放军 (PLA)。

2. Sykipot 攻击 (2006)

被称为“Sykipot”的攻击利用了 Adobe Reader 和 Acrobat 中的漏洞，是一系列长期的恶意软件行动，主要针对美国和英国的公司，包括国防承包商、电信公司和政府机构。攻击者经常使用包含恶意附件或指向包含零日漏洞的电子邮件的定向电子邮件。鱼叉式网络钓鱼是最常用的 APT 攻击策略，它是一种进入商业和政府系统的入口点技术。

3. GhostNet (2009)

GhostNet 是研究人员对最初于 2009 年发现的一项重大网络间谍活动的命名。这些攻击源于中国，成功感染了连接到大使馆、政府部门以及 100 多个国家系统的网络设备。

大多数观察者认为这是中国为在日益增长的“信息战”中确立自己为主要力量而做出的努力。这些攻击之所以引人注目，是因为它们能够远程激活被黑设备上的摄像头和音频录制功能，将它们变成窃听设备。

4. Stuxnet 蠕虫 (2010)

Stuxnet 蠕虫，当时是发现的最先进的恶意软件样本之一，于 2010 年被用于伊朗。鉴于其复杂性，只有民族主义团体才可能参与其创建和部署。Stuxnet 与大多数恶意软件不同，因为它针对的是出于安全考虑通常不与网络连接的系统。

相反，它通过 USB 密钥感染 Windows 工作站并在运行 PLC（可编程逻辑控制器）的计算机上搜索 Siemens Step7 软件来通过网络传播。这些活动旨在让黑客能够访问有关伊朗工业基础设施的敏感数据。

5. Deep Panda (2015)

最近袭击美国政府人事管理办公室的 APT 攻击，与所谓的中国和美国之间持续的网络战有关。

其他几个代号被用来指代最近的袭击，Deep Panda 是其中之一。据信，在 2015 年 5 月的 OPM 袭击中，有超过400 万人员数据被泄露，人们担心可能窃取了特勤局雇员的信息。

6. APT 28 (2014)

Trend Micro 的研究人员于 2014 年发现了 APT28，这是一个俄罗斯的高级持续性威胁组织，被称为 Fancy Bear、Pawn Storm、Sofacy outfit 和 Sednit。APT28 与东欧（如格鲁吉亚和乌克兰）的军事和政府目标袭击以及针对北约机构和美国国防承包商的诽谤行动有关。

7. APT 29 (2016)

2015 年，五角大楼成为一次鱼叉式网络钓鱼攻击的目标，而2016 年，民主党全国委员会遭到 APT29 的攻击，这是一个被称为 Cozy Bear 的俄罗斯高级持续性威胁组织。

8. APT 34 (2017)

FireEye 的研究人员于 2017 年发现了 APT34，这是一个与伊朗有关的高级持续性威胁组织，但它自 2014 年至少以来一直活跃。该威胁组织的目标是中东的金融、政府、电力、化工和通信服务提供商。

9. APT 37

据信，与朝鲜有关的高级持续性威胁 (APT37)，也被称为Reaper、StarCruft 和 Group 123，起源于 2012 年左右。APT37 与使用 Adobe Flash 零日漏洞的鱼叉式网络钓鱼攻击有关。

APT 的警示信号

1) 特定的鱼叉式网络钓鱼电子邮件

电子邮件是需要进入的黑客的常见入口点。根据他们攻击前进行的调查，他们选择了可能引起目标员工兴趣的主题。电子邮件可能包含一个安装不需要的应用程序的链接，或者包含允许网络犯罪分子访问您计算机的病毒的附件。这些欺诈手段如此具有针对性，以至于被称为鱼叉式网络钓鱼计划。

与普通的网络钓鱼计划（随机发送、缺乏个性化并试图欺骗大量人群提供个人信息或数据）不同，这些计划是针对收件人的。鱼叉式网络钓鱼针对特定公司的特定个人，并且犯罪分子利用他们目标的个人信息来使自己看起来更可靠并增加其通信的份量。

任何来自不明方的发给公司高管的带有附件的电子邮件都应引起警惕。对员工进行关于网络钓鱼、打开附件以及点击未经请求的消息中的链接的风险教育至关重要。

2) 奇怪的登录

跟踪和分析您网络上的登录情况。如果几笔登录发生在非工作时间，或者存在其他奇怪的登录模式，这都应引起警惕。特别是对于拥有高级网络访问权限的高管来说，出现这些登录尤其令人担忧。

奇怪的日期可能是因为黑客位于地球另一端的不同国家。此外，他们试图在您办公室里知道的人不多的时候进行操作，以免被注意到和阻止可疑活动。

3) 常见的后门特洛伊木马

黑客通常使用后门特洛伊木马来保持对计算机的访问。这些计算机应用程序允许黑客远程连接到受感染网络中的计算机，以及发送和接收命令。它们充当一个敞开的后门，即使登录信息发生变化也能保证访问。

4) 数据被移动

黑客访问您的系统是有原因的——寻找特定数据。留意大量传输的数据。数据或文件可能已从一台服务器传输到另一台服务器。查找传输到外部计算机的数据以及在同一内部网络上的机器之间传输的数据。查找奇怪的连接，例如与外部资源的链接。

5) 数据批量和导出就绪

查找不应存在的大文件。黑客经常将数据收集并压缩到一个位置，然后再从您的系统中导出。因此，他们可以一次移动大量数据。特别注意数据包的文件扩展名。

如何防止 APT 攻击？

1. 限制系统访问

使用纵深防御 (DiD) 策略和最小权限原则来有效地限制系统访问。它有助于系统整体安全，而不仅仅是边界。DiD 通常使用内部防火墙和流量过滤。最小权限原则可以指导您的 DiD，并防止用户和应用程序获得比所需更多的访问权限。这两种技术可以大大减缓未经授权的访问，并限制攻击者在网络中的移动能力。

2. 利用管理员控件。

以下管理员安全措施有助于防止 APT：

• 修补程序管理和漏洞评估有助于阻止利用损坏代码的攻击。
• 使用用户访问管理，APT 可能更难利用受信任的连接。
• 限制高级权限；只允许管理员和合格员工访问管理员区域。
• 安全团队在使用入侵检测和预防解决方案时可以迅速采取纠正措施，这些解决方案可以发现潜在攻击的迹象。
• Web 应用程序防火墙 (WAF) - 有助于保护包含在具有 Web 界面的程序中的敏感数据。

3. 通知您的员工

APT 经常使用被盗的员工凭据来访问系统。凭据可能通过多种方式被盗，包括使用虚假登录门户、暴力破解攻击、网络钓鱼计划，或利用密码安全漏洞。通过教导您的员工识别和拒绝凭据盗窃企图，您可以降低这些风险。

例如，写下简洁易懂的说明，指导如何识别和报告垃圾邮件。此外，它还指导用户如何生成安全密码。最好提到为什么用户永远不应该重复使用或分发他们的登录凭据。

4. 进行渗透测试。

Pentesting，或渗透测试，是故意尝试绕过您的安全措施以查找安全漏洞。渗透测试可以由外部渗透测试服务提供商进行，也可以由内部的红队攻击者和蓝队防御者进行。目标是评估组织的防御能力并帮助安全团队练习他们的响应。

5. 使用 VPN

虚拟专用网络 (VPN) 提供到网络的加密远程连接。它可以降低远程访问的风险，例如来自不安全的 WiFi 连接的风险，这些连接为 APT 黑客提供了轻易获得网络初始访问权限的途径。

结论

总而言之，在我们互联互通的社会中，高级持续性威胁 (APT) 带来的威胁仍然是日益增长的网络安全问题。随着网络对手不断磨练他们的技术，组织必须采取一种主动和适应性的策略来防御 APT。这需要一种全面的方法，整合强大的网络安全、持续监控、威胁情报交流和员工培训。

为了在这些持续的危险面前保持领先地位，政府组织、商业部门和外国合作伙伴之间的合作也至关重要。我们的防御必须跟上技术进步，通过保持警惕、知识渊博和合作，我们可以加强我们对 APT 的抵御能力，并保护我们的数字生态系统免受其破坏性影响。