高级持续性威胁(APT)是当今公司企业面临的最危险的网络攻击之一。我们都听说过Stuxnet蠕虫以及其他备受关注的攻击，其中包括2014年索尼影业娱乐公司被黑事件，一名观察人士称之为“完美的APT”。而在去年，专门针对金融机构的Carbanak攻击登上了媒体头条。

　　APT会影响贵公司吗?ISACA的《2015年高级持续性威胁安全意识调查》发现，74%的调查对象认为，他们会受到APT的攻击，28%已经受到了攻击。问题在于，就其性质而言，APT极其复杂。它们旨在隐匿起来、逃避检测，从而让它们能够在网络上传播数周、甚至数月之久而不被发现。

　　缓解APT的风险似乎意味着要部署非常复杂的网络安全措施，这似乎超出了大多数普通企业组织的能力范围。事实并非如此。实际上，你只要做好基本工作，对于降低APT风险大有帮助：了解这种攻击是如何规划和部署的基础知识，了解贵企业组织的网络结构如何助长或阻碍这种攻击。简而言之，了解如何减小你暴露在恶意黑客面前的攻击面。

　　APT结构

　　不管有多复杂，所有APT攻击通常遵循相似的路径。

　　侦察：攻击者通常会使用多种手段来获取情报，了解公司的网络实际上是什么样子，以便搞清楚实施了什么样的安全策略和应用程序，或者找出可以为他们提供入口点的远程访问功能。常见的手法包括如下：

　　·开源情报包括扫描对外开放的服务，以查找安全漏洞。

　　·人力资源情报针对关键员工，以获取访问信息。

　　·资产摸底识别企业组织在使用哪些版本的软件或资源，以便了解网络基础设施的概况。

　　漏洞投放：一旦攻击者找到了攻击你网络的相应的入口点，就会投放一个恶意工具或应用程序，让他们得以渗入到你的网络。选择的攻击途径可能包括电子邮件附件、所谓的“水洞”攻击(攻击者危及他们知道受害者可能会访问的现有网站)，或者甚至是将漏洞投放到被感染的U盘上。

　　探查和横向扩展：成功潜入到你的网络里面后，攻击者试图在你的网络里面横向移动，最终获取你那宝贵的业务数据。但这些数据通常在另一个计算机系统上，所以攻击者需要找到一条路径。这种横向移动正是APT的持久性发挥作用的地方。探查需要一段时间――在此期间，个人用户可以重启系统，更改安全签名，或者以其他方式让攻击者很难重新访问其机器。

　　因此，攻击者理想情况下旨在将软件直接部署到一台台机器上，让他们得以随时可以回来，即便用户重启了机器或打上了补丁。要做到这一点，最常见的方式就是通过远程管理员工具(RAT)――这是用于远程排查故障或求助台功能的同一种类型的工具。

　　最后，攻击者获取他们一直在寻找的宝贵信息可能有两种手段，一是将这些信息与正当流量混合起来、通过HTTP传送，另一种是对这些信息加密，以便很难被发现，比如说通过HTTPS传送。

　　减小网络攻击面

　　虽然很难防止攻击者在整个APT过程中执行第一个阶段――毕竟，许多OSINT扫描方法没有什么特别隐秘之处，但是可以防止攻击者在你的网络上横向移动、搜索你的宝贵数据，可以借助一些回归基本面的网络安全原则：

　　·对网络进行分段。根据使用模式以及在每个区域里面处理的数据类别，将你那个扁平的内部网络划分成多个区域。随后，这种分段机制可以防止APT从充当“踏脚石”的一个机器跳到另一个机器。

　　·部署防火墙，以便过滤那些区域的之间流量。必须在区域之间部署防火墙之类的“阻塞点”，过滤进出的流量。换句话说，防火墙必部署在内部横向移动路径上，而不是仅仅部署在网络边界。

　　·制定那些防火墙执行的限制性安全策略。Gartner研究公司表明，99%的防火墙安全漏洞是由防火墙配置不当，而不是防火墙本身缺陷造成的。传达的信息很明确：你的防火墙必须准确、巧妙地加以配置，才能分析并阻止表明APT的那种内部流量。

　　你在设计网络的分段机制时，应考虑将所有网络都应该分成两种区域类型。首先，为处理和存储支付及信用卡资料、员工记录、公司财务数据、知识产权和受监管数据的系统识别和定义敏感数据区域。其次，识别和定义含有人类可访问的台式机、笔记本、平板电脑和智能手机的真人用户区域。你可能已经对无线访问区域进行了分段，但是有线访问台式机同样应该加以分段。由于APT的第一个攻击点通常是这样一种台式机，这种分段随后就能防止APT的横向移动。

　　如果这听起来异常简单，那是因为它本来就很简单。要牢记的重要一点是，不管APT有多么狡猾，它都是在你的地盘作崇。发觉网络里面APT的迹象可能颇有难度，但是如果做好安全基本工作，对于防止横向移动大有帮助，进而可以立即阻止API。