十多年前传统的大规模病毒爆发是“唯恐天下不乱”，但从2005年开始，大规模爆发趋势在慢慢减少，然而这并非意味着攻击和威胁的减少，而是攻击者出于不同目的长期潜伏在企业中以获取核心价值为目标；而2010年后高级持续性威胁（APT）更是成为取代传统黑客攻击的一种重要的方式，且愈演愈烈……

日前（2016年8月5日-6日），以“安全可控•御未来”为主题的2016年首届C3安全峰会暨中国云安全峰会在成都世纪城会展中心成功召开。首日下午，亚信安全业APT治理战略及网关产品线总监白日和亚信安全产品管理部总监徐江明接受了媒体采访，谈及如今的APT变化形势、企业在高级威胁取证方面面临的挑战，以及亚信安全应对这些问题的解决思路和方法。

APT频发 各类型行业、企业均难逃魔掌

近年来，无论是国内还是国外的APT均呈大规模爆发。据白日介绍，这两年来APT攻击变化趋势主要有三：其一是加密勒索软件成为主流的简易APT攻击，且随着勒索软件攻击越发频繁，其影响力也变得越来越大；其二是影响范围已从传统的大型企业到中小企业，而行业方面无论是金融、电信、运营商和能源这类大型行业，包括政府行业，还是各式各样的互联网企业都会成为攻击目标；其三是如今的APT攻击已成为国与国之间的第四战场，成为领导人会晤的重要话题。可以说，APT已渐趋成为企业头号网络安全杀手。

鉴于APT攻击是一个长期且覆盖面极广的过程，防护起来就不是简单部署一两个产品可以解决的。具体操作起来，可以分为六个阶段，有效的安全防御需要企业在每个阶段都做到位。

首先第一步就是对员工做相关的安全教育，提高员工安全意识至少可以解决60%的安全问题；第二阶段是防范单点突破，涉及社交工程钓鱼邮件，需要部署APT邮件沙盒产品；第三阶段是违规外联阶段，企业需要在内网建立起非常好的监测机制，以发现做违规外联的服务器/终端并进行阻断；第四步是抑制横向移动，同样依靠内网安全监测机制实现“发现-隔离-治理”；第五步是对核心信息资产进行加密，以防止数据泄露；最后一步是阻止黑客将企业核心信息资产带出去。

高级威胁取证困难重重 怎么破？

APT攻击不只发现难，在攻击发生后的调查取证方面也面临重重挑战。据徐江明介绍，现在的企业在面对高级威胁调查取证方面，面临挑战主要有三：首先是多年来企业布防走的合规方式，至于是不是安全则是个未知数；其次尽管预算充裕的用户会布防一些其他的安全产品，但每天产生大量的安全日志给本就缺少专业安全人员的企业带来挑战；最后是针对APT攻击能不能有效建立知识库，以避免下一次相同时间的再次爆发，如果每次都是按照一个事件去处理，那么下一次攻击的爆发又会是另一场灾难，这些都是亟待企业解决的课题。

基于上述企业面临的种种问题，亚信安全于C3安全峰会当天下午宣布推出新的高级威胁调查取证中心服务产品。对于企业来说，识别、侦测、分析高级威胁，并回溯攻击何时进来、在网络里做了什么、窃取了什么数据难度是很高的。对于力所能及的企业来讲，无论是企业用户还是行业用户首先最好能在不同的网络层部署相关安全产品；其次是能够进行关联分析，进而进行调查取证，就亚信安全提供的方案而言它的后台是一个大数据关联分析索引，该索引里是亚信安全对安全事件中间关联分析的知识库，通过将事件间是否有关联性/规则输入至大数据平台来帮助调查取证团队进行关联索引。

总之，APT攻击是长期的。相应地，对抗也是持久之事。而在这个持续的对抗过程中，就需要综合多种技术和解决方案对APT做侦测、分析及进一步防治，而对于高级威胁取证难题，关联的智能则是其核心所在。