什么是高级持续威胁？

高级持续威胁（APT）是针对特定业务资产的复杂多阶段安全事件。APT 是未经授权的行为者，他们进入组织环境、跨系统移动以获取资产、传输敏感信息，并试图在不被发现的情况下撤离。由于攻击手段复杂且具有针对性，高级持续威胁的识别和处理难度较大。防范 APT 需采用多系统、多学科的综合方法。

APT 事件可以具有以下预期目标之一。

窃取知识产权

知识产权（如商业或政府机密、专有源代码或内部通信）均属于组织私有的敏感数据。APT 小组获取这些数据的初始访问权限后，会非法获取信息以获取竞争优势，或者对目标业务网络产生负面影响。

财务欺诈

APT 可以控制业务系统和运营流程，为未经授权的行为者提供实施财务欺诈所需的特权访问权限。这些操作可能包括从用户账户转移资金，或窃取公司敏感数据以冒充公司内部特权人员。

勒索软件 

成功的 APT 事件可能以实施勒索软件为目标。在此示例中，APT 会开始加密敏感数据，并阻止用户访问目标网络。这些未经授权的小组会索要高额赎金，以此换取解密文件的密钥。 

声誉损害

一些 APT 组织的具体目标是通过向公众泄露信息来损害组织声誉。

APT 仅针对高价值目标。高级持续威胁（APT）比典型的网络威胁更难识别，因为它们不遵循传统攻击模式。由于不存在通用的安全事件攻击向量、事件时间范围或签名，因此定位和中和这些安全事件更具挑战性。 

在典型的安全事件中，数据库操作或数据移动流量可能会突然激增，而 APT 事件采用的更有条理的攻击方式则始终保持隐蔽。

APT 通常不追求即时收益，这使它们能够从容布局，实施影响范围更广的威胁攻击。通过在系统中保持未被发现的状态，APT 可以在公司内部长时间潜伏，直到攻击小组决定采取行动。

以下是高级持续威胁最常见的特征和表现。

复杂的多阶段入侵流程

高级持续威胁涉及多阶段事件，这些事件通常遵循相似的步骤序列。

首先，未经授权的行为者会对目标组织及其系统进行侦察，以收集资产相关信息和潜在漏洞。随后，他们会制定利用已识别漏洞的具体方法。

未经授权的行为者获得公司系统访问权限后，会在系统各部分移动。他们通过社会工程学、网段导航等技术获取更高权限来实现这一目的。他们还可能分散安全人员的注意力。行为者会搭建命令和控制服务器，用于协调通信。

目标资产可访问后，未经授权的行为者通常会开始泄露数据或篡改被入侵的系统，具体行动取决于事件的目标。部分高级持续威胁在最后阶段还会试图掩盖踪迹，以帮助防止攻击事件被发现。

由动机强烈的 APT 小组实施

APT 事件由动机强烈的未授权行为者发起，这些攻击者通常以小组形式开展活动。这些小组形式多样，包括国家赞助的 APT、专业网络犯罪组织、黑客行动主义小组或小型雇佣黑客团队。

尽管 APT 的主要目标是获取经济利益，但部分小组发起 APT 活动是为了收集敏感信息、泄露数据、破坏基础设施或损害组织声誉。 

跨多系统的长时间攻击

前文所述的攻击阶段可能会持续较长时间。由于 APT 事件具有针对性，因此攻击小组会谨慎规划、缓慢行动，以避免引起注意或触发系统警报。在某些情况下，APT 可能在采取行动实现初始目标前潜伏数月甚至数年而不被发现。

刻意掩盖攻击痕迹

APT 威胁行为者行动的最后阶段是掩盖攻击事件的所有痕迹，常用手段包括删除文件、修改日志或隐藏数据库的特定方面。通过降低网络安全团队发现系统异常的可能性，未经授权的行为者更有可能在不承担后果的情况下撤离。

此外，通过掩盖其存在的证据，APT 还可以对其特定的渗透方法严格保密。这种秘密撤离使他们能够对其他目标组织使用相同的缓慢且有条理的攻击策略。

高级持续威胁（APT）情报是一种专门的威胁情报，可为企业提供正在进行的 APT 攻击活动、已知 APT 未授权行为者以及 APT 当前使用的社会工程技术的相关信息以及行动指导。 

APT 情报在来源、三角验证技术、报告形式、分析方法和应用场景等方面均有别于普通威胁情报。

以下是几种可以帮助防范和抵御 APT 的有效安全措施。

威胁情报

威胁情报系统是帮助防范 APT 的有效策略。威胁情报会整合内部和外部安全数据，全面呈现当前安全事件状态及常见攻击向量。通过利用公共和私有数据，您可以确定主要潜在 APT 对手、攻击策略以及相应的防御方法。

组织可以通过部署威胁情报平台、开源威胁情报源和 MITRE ATT&CK 等框架，获取情报并制定防御策略。

日志记录和遥测

对网络安全系统、网络、资产接入点、端点监控和整体系统运行状况数据进行有效且全面的日志记录，有助于安全专家全面了解您的业务系统状况。保留精细日志并实施高级分析可以提升异常检测能力，并支持对意外安全事件进行追溯调查。

技术

您可以使用多种技术来增强检测、中和及缓解 APT 的能力。以下是该安全技术堆栈中的一些核心技术：

• 入侵检测系统（IDS）：监控网络流量以识别任何异常活动的工具。
• 安全信息和事件管理系统（SIEM）：关联来自各类安全系统的数据，以提供实时威胁检测和意外安全事件响应的解决方案。
• 端点检测和响应（EDR）：映射并监控所有公司端点设备，以识别异常并自动作出响应。

分层安全

除 APT 安全措施外，您还可以实施分层安全策略，以降低意外安全事件发生的可能性。您可以引入网络分段、安全位置存储、实施最低权限访问、对所有公司账户强制执行多重身份验证，并采用强大的静态数据和传输中数据加密标准。此外，定期修补网络软件、系统软件和应用程序软件有助于缓解已知漏洞。

培训

APT 和其他意外网络安全事件最常见的切入点之一是通过接触公司员工实现的。无论是通过网络钓鱼诈骗，还是通过欺骗员工点击恶意链接进行社交操纵，攻击小组通常会将目标对准组织内部人员。随着人工智能的发展，高级仿冒技术日益普遍。

您可以定期开展安全意识培训计划，以应对组织内部的社会工程威胁。您的员工应能够识别 APT 的初始迹象，并向安全团队报告相关事件。

AWS 提供经过专门设计的服务，以帮助组织防范高级持续威胁。AWS Security Hub 通过统一的可见性、切实可行的见解和自动化工作流程来转变云安全。

Amazon GuardDuty 为云端提供完全可扩展的托管式威胁检测服务。Amazon GuardDuty 可以借助自动分析和定制补救建议快速识别、关联和响应威胁，以帮助最大程度地减少业务中断。Amazon GuardDuty 具备智能威胁检测功能，可保护您的 AWS 账户、工作负载和数据。

Amazon Inspector 可以自动发现工作负载，例如 Amazon Elastic Compute Cloud（Amazon EC2）实例、容器映像、AWS Lambda 函数和代码存储库，并扫描它们是否存在软件漏洞和意外的网络暴露。

Amazon Macie 通过使用机器学习和模式匹配发现敏感数据，提供对数据安全风险的可见性，并实现自动化保护。

AWS 安全事件响应可帮助您为安全事件做好准备、应对安全事件并从中恢复。该安全事件响应服务能自动进行监控和调查，加快沟通与协调效率，并提供 AWS 客户事件响应团队（CIRT）的全天候直接支持。

立即创建免费账户，开始在 AWS 上保护您的组织免受 APT 侵害。