APT***

APT簡介：

高級長期威脅（英語：advanced persistent threat，縮寫：APT），又稱高級持續性威脅、先進持續性威脅等，是指隱匿而持久的電腦***過程，一般由某些人員精心策劃，針對特定的目標。其一般是出於商業或政治動機，針對特定組織或國家，並要求在長時間內保持高隱蔽性。高級長期威脅包含三個要素：高級、長期、威脅。高級強調的是使用複雜精密的惡意軟件及技術以利用系統中的漏洞。長期暗指某個外部力量會持續監控特定目標，並從其獲取數據。威脅則指人爲參與策劃的***。^[1]

APT發起方，如政府，一般具有持久而有效地針對特定主體的能力及意圖。此術語通常指網絡威脅，尤爲是指使用衆多情報收集技術來獲取敏感信息的網絡間諜活動，^[2]但也適用於傳統的間諜活動之類的威脅。^[3]其餘***麪包括受感染的媒介、***供應鏈、社會工程學。我的，如我的***，一般不被稱做APT，由於即便我的有意***特定目標，他們也一般不具有高級和長期這兩個條件。^[4]

目錄

  [隱藏] 

• 1歷史

• 2特色

• 3生命週期

• 4術語

• 5緩解策略

• 6參考文獻

• 7擴展閱讀

• 8參見

歷史[編輯]

2005年時，英國及美國的一些計算機應急響應組織發佈報告，提醒人們注意某些針對性的釣魚電子郵件會釋放***，外泄敏感信息，但「APT」一詞還未被使用。^[5]廣泛認爲「高級長期威脅」這個術語是在2006年由美國空軍創造，^[6]而格雷格·拉特雷上校通常被認爲是該術語的發明人。^[7]

震網蠕蟲是APT的一個例子，此蠕蟲專門針對伊朗核設施的電腦硬件。此事件中，伊朗政府可能就把震網蠕蟲的創造者視爲一個高級長期威脅。

在計算機安全社羣及媒體中，此術語常指針對政府、公司、政治活躍分子的長期而複雜的******，普遍來說也指發起這些***的幕後團體。^{[來源請求]} 日趨頻繁的高級長期威脅（APT）可能會逐漸只用於指代計算機******。據《PC World》雜誌統計，從2010年到2011年，針對性的高級電腦******增加了81%。^[8]

對於APT的一個常見誤解^[誰？]是，APT僅僅針對西×××府。雖然針對西×××府的APT事件在西方廣爲流傳，但許多國家的***也會經過網絡空間收集我的或一羣我的的情報。^[9][10][11]美國網戰司令部負責協調美國軍方對網絡***做出的響應。

有說法稱一些APT團體直屬於或受僱於民族國家。^[12][13][14] 掌握大量可辨識的我的身份信息的行業極有可能遭受高級長期威脅，如：^[2]

• 高等教育^[15]

• 金融機構

特色[編輯]

Bodmer、Kilger、Carpenter和Jones的研究將APT的標準定義以下：^[16]

• 目標 – 威脅的最終目標，即你的對手

• 時間 – 調查、***所花的時間

• 資源 – 所涉及的知識面及工具（技能和方法也有所影響）

• 風險承受能力 – 威脅能在多大程度上不被發覺

• 技能與方法 – 所使用的工具及技術

• 行動 – 威脅中採起的具體行動

• ***源頭 – ***來源的數量

• 牽涉數量 – 牽涉到多少內部或外部系統，多少人的系統具備不一樣重要性

• 信息來源 – 是否能經過收集在線信息識別出某個威脅

生命週期[編輯]

APT的幕後黑手會對組織團體的金融財產、知識產權及名譽形成持續變化的威脅，^[17]其過程以下：

1. 因一個目標開始盯上特定組織團體

2. 試圖***到其環境中（如發送釣魚郵件）

3. 利用***的系統來訪問目標網絡

4. 部署實現***目標所用的相關工具

5. 隱藏蹤影以便未來訪問

2013年，美國網絡安全公司麥迪安（Mandiant）發佈了關於2004至2013年間疑似來源於中國的APT***的研究結果，^[18]其中的生命週期與上述類似：

• 初始*** – 使用社會工程學、釣魚式***、零日***，經過郵件進行。在受害者常去的網站上植入惡意軟件（掛馬）也是一種經常使用的方法。

• 站穩腳跟 – 在受害者的網絡中植入遠程訪問工具，打開網絡後門，實現隱蔽訪問。

• 提高特權 – 經過利用漏洞及破解密碼，獲取受害者電腦的管理員特權，並可能試圖獲取Windows域管理員特權。

• 內部勘查 – 收集周遭設施、安全信任關係、域結構的信息。

• 橫向發展 – 將控制權擴展到其餘工做站、服務器及設施，收集數據。

• 保持現狀 – 確保繼續掌控以前獲取到的訪問權限和憑據。

• 任務完成 – 從受害者的網絡中傳出竊取到的數據。

麥迪安所分析的這起***事件中，***者對受害者的網絡保有控制權的平均時間爲一年，最長時間爲五年。^[18] 這次******據稱是位於上海的中國人民解放軍61398部隊所爲。中國官方否定參與了這些***。^[19]

術語[編輯]

APT並沒有準肯定義，但整體可概括以下：^[3][4][20]

• 高級 – 威脅的幕後操縱者對情報收集技術有着全面的掌控能力。其中可包括電腦***技術和傳統情報收集技術（如電話監聽技術、衛星成像技術）。***中使用的各個組件自己可能並不能算特別「高級」（例如，利用公開的惡意軟件生成工具生成的惡意軟件，或是一些容易得到的漏洞利用材料），可是操縱者每每能夠按需開發出更高級的工具。他們通常會使用多種針對方式、工具和技術以***目標，並保持訪問權限。操縱者也可能會特別注意行動中的安全，這一點和「不那麼高級」的威脅有所不一樣。

• 長期 – 操縱者注重一個特定的任務，而不是盲目搜尋信息。這一區別暗示***者受到外部力量指示。爲了達到預約目的，***者會持續監控目標，並作出反應。這並不表示***者會常常發動***、頻繁更新惡意軟件。事實上，「放長線」的方法會更爲成功。若是操縱者失去了對目標的訪問權，他們通常會從新嘗試***，也每每會成功。操縱者的目的之一就是對目標保有長期的訪問權，而不是一次性的訪問權。

• 威脅 – APT之因此成爲威脅，是由於發起方既有此能力，又有此意圖。APT***是由一羣有組織的人發起的。操縱者有特定的目標，且技術精湛、資金雄厚。

緩解策略[編輯]

惡意軟件的變種數以千萬計，所以要保護組織團體免於APT***極爲困難。雖然APT活動十分隱蔽，但與APT相關的命令與控制網絡流量卻很容易在網絡層檢測。深刻的日誌分析和比對有助於檢測APT活動。儘管要從正常流量中分離出異常流量有必定難度，但這一工做能夠藉助完善的日誌分析工具來完成，以便安全專家調查異常流量。^[1]

^{51cto APT專題}

^{http://netsecurity.51cto.com/art/201109/290796.htm}