什么是高级持续威胁？

APT，这是公司可能面临的最危险的网络威胁之一；它代表高级持续威胁。 APT 攻击是一种难以检测的威胁类型，其中网络黑客获得系统访问权限并设法在很长一段时间内不被发现。

APT攻击导致企业出现不明原因的宕机；可能会导致数据丢失、基础设施破坏、服务中断和站点接管。 APT 比其他在线威胁更复杂。与针对尽可能多的设备的恶意软件不同，高级持续威胁通常在设计时考虑到特定目标。 APT 经常针对著名的重要公司，甚至针对国家、大使馆、国防和电信机构。因此，每一次违规；它是通过制定仅适合目标防御的特定计划来设计的。

APT 主要称为不依赖自动化的手动攻击

绝对不是打了就跑的攻击。他们的目标不是破坏系统，而是在网络中停留足够长的时间以提取数据而不惊动系统。

众所周知，APT 攻击会导致许多数据泄露，从而造成重大财务影响。真正令人担忧的是，这些攻击可以使用复杂的方法来持续存在，并且不会被一些传统的安全措施检测到。

APT 攻击者通常针对大公司供应链中的小企业，利用受保护程度较低的公司作为切入点。这就是为什么对于各种规模的企业来说 ，了解如何检测 APT 攻击都很重要。

APT 如何运作？

高级持续性威胁通常分阶段实施；从黑客攻击网络开始的过程的目标是不被发现。然后，黑客映射公司数据以找到最容易访问的地点并开始收集敏感数据。

在 APT 攻击中，黑客使用不同的方法来获得对网络的初始访问权限，而不是像病毒和恶意软件等传统威胁那样使用通用方法，每次都会表现出相同的行为。

相反，它们是针对特定组织的精心策划的威胁。因此，高级持续威胁可能是高度专业化且设计高度复杂的，以逃避目标公司现有的安全措施。

网络黑客经常使用通过网络钓鱼攻击访问的员工或业务合作伙伴的凭据来获得初始访问权限。这样，他们就可以在系统中保留足够长的时间而不被发现，以便他们能够映射组织的系统和数据并准备攻击计划，从而允许他们转储公司的数据。

在 APT 攻击中，一旦特定网络遭到破坏，恶意软件就可以轻松隐藏某些标准导航系统，从一个系统移动到另一个系统，开始收集数据并监视网络活动。通过远程控制攻击，黑客有机会搜索、定位并从公司网络中窃取关键数据。

由于高级持续威胁是一个广泛的术语，因此此类攻击有不同的阶段，但通常可以讨论 3 个基本阶段：

第一阶段：渗透

浸润;这是黑客通过网络钓鱼等方式搜索安全漏洞，找到进入系统并获得网络访问权限的阶段。渗透期间使用的常见策略是同时发起DDoS 攻击。 DDoS 通过分散人员注意力来破坏网络。

APT 黑客使用多种攻击方法来获取初始访问权限，包括：

• 零日漏洞利用
• 网络钓鱼
• 远程文件插入 (RFI)
• SQL注入
• 跨站脚本（XSS）
• 恶意软件
• DNS 隧道

一旦获得初始访问权限，APT 黑客就会创建后门木马，通常伪装成合法软件来远程控制系统。

第二阶段：扩张

一旦攻击者登录系统，他们就希望扩大和深化他们的访问权限，并确保他们的访问权限无法被撤销。为此，他们经常尝试通过恶意软件收集其他服务器的额外密码，或者确保未来通过特洛伊木马进行的入侵即使他们窃取的原始密码已更改，也仍然可以访问。

攻击者试图保护他们的位置并收集更多有关网络的信息，寻找网络中的漏洞，通过这些漏洞他们可以获得更深入的访问权限，从而控制其他系统。

扩展涉及通过定位能够访问有 价值数据的人员来提升用户层次结构。为此最常用的策略。

在扩展阶段，恶意软件除了允许黑客保持访问不被发现之外，还可以帮助黑客执行以下操作：

• 隐藏系统控制
• 在网段之间导航
• 收集敏感数据
• 监控网络活动
• 确定新的入口点，以防现有入口无法进入

在此阶段，安全控制通常没有意识到危险，入侵者开始完成攻击目标的步骤。例如，如果目标是窃取数据，攻击者就会开始将信息存储在流量很少或没有流量的网络部分的数据包中。

第三阶段：数据提取

在第三阶段，通常从多个服务器收集数据并将其存储在单个位置，直到准备好从系统中提取为止。一旦收集到足够的数据，窃贼就可以使用 DDOS 攻击等技术来分散安全团队的注意力，并使系统防御忙于数据传输。

APT 攻击者经常尝试在不暴露其存在的情况下完成提取。如果没有检测到数据被盗的最后阶段，则为未来的攻击敞开了大门。

如果 APT 攻击的目标是破坏系统，则最后阶段的工作方式有所不同。 APT 黑客可以巧妙地控制关键功能并破坏整个数据库，甚至留下损坏以阻止灾难恢复。

如何检测APT？

这些威胁无法轻易检测到，因为 APT 黑客使用复杂的方法来隐藏其活动。然而，虽然它们通常是专门为了避免检测而设计的，但可能有证据和预警信号表明 APT 攻击正在发生，例如某些系统异常。学习如何检测 APT 及其症状；保护自己免受 APT 侵害非常重要。

• 被盗的登录凭据是 APT 攻击者获取网络访问权限的主要方式之一，因此在非正常时间频繁登录服务器可能表明 APT 攻击正在进行。在员工通常不访问网络的时间（例如深夜）登录次数增加可能是 APT 攻击的迹象。
• 由于APT攻击者经常使用后门木马来维持访问，以防登录凭据发生变化，因此如果系统中检测到木马，则可能会发生APT攻击。特洛伊木马可以远程访问您的系统，而不会受到密码更改的影响，也不会留下足迹，这可能是比被盗凭据更大的威胁。如果您愿意，可以看看我们的文章。
• 通常，数据会无缘无故地突然移动并存储在不应该存储的地方；当数据正在传输到您无法控制的外部服务器的过程中时有效。因此，APT也可以通过检查数据包来检测。在将数据从网络上移出之前，黑客会将文件隔离到易于传输的包中，并将它们放置在人员通常不存储数据的位置。需要定期检查和扫描位于不正确位置的数据文件。奇怪的数据库活动、突然大量涌入的数据，是一个重要的线索。
• 哈希攻击通常针对传递存储 预防广告欺诈：营销人员的策略 或保存密码数据的内存。当检测到此类情况时应对此进行调查，因为这将使黑客有机会创建新的身份验证会话。
• 鱼叉式网络钓鱼电子邮件是潜在 APT 的最明显迹象。据了解，APT 黑客还会向高级员工发送此类电子邮件，以期获得敏感数据的访问权限。

如何防范APT？

关于高级持续威胁的严酷事实是，没有任何单一解决方案能够 100% 有效。仅靠防病毒程序等标准安全措施无法有效保护公司免受 APT（一种多功能类型的攻击）的侵害。 APT 检测和 APT 防护；它需要网络管理员、安全团队和所有用户之间的协作以及多种防御策略的应用。因此，我们可以列出以下策略，将它们一起使用时，将增强 APT 防护的安全性：

• 监控流量为了防止后门安装、防止提取即将被盗的数据并识别可疑用户，监控流量有助于检测异常行为。建议使用服务器监控工具来监控文件共享和保护服务器。
• WAF选择正确的防火墙结构作为抵御高级持续威胁的第一层防御非常重要。应使用网络边缘的Web应用程序防火墙 (WAF)过滤流向服务器的所有流量。 WAF可以防止RFI和SQL注入攻击，这是APT渗透阶段的典型攻击类型。可以阅读我们文章中的详细信息。

• 白名单 白名单也称为白名单，是一种控制可以从网络访问哪些域和应用程序的方法。白名单通过最大限度地减少网络攻击的威胁来降低 APT 的成功率。如我们在文章中提到的，
  为了使白名单发挥作用，团队必须仔 传真营销 细选择可接受的域名和应用程序。严格的更新策略也是必要的，因为用户始终运行所有应用程序的最新版本非常重要。

• 严格的访问控制

  由于员工往往是安全系统中最容易受到攻击的点； APT 黑客试图让员工成为绕过防御措施的简单途径。

  保护企业免受恶意行为者侵害的最佳方法是遵守零信任原则。零信任策略限制每个帐户的访问级别，并确保用户只能访问他们执行任务所需的资源。因此，即使员工帐户的安全受到损害，入侵者在网络上的活动也会受到限制。对于特权帐户，建议您重点关注。应监控管理员帐户是否有任何更改。应检查创建的每个新帐户。