近年来，在互联网领域，网络空间的安全形势发生了巨大改变，APT攻击增长趋势呈指数级发展，并逐渐演变成了各种社会工程学攻击与各类0day漏洞利用的综合体，成为最具威胁的网络攻击方式。

面对APT 传统安全体系面临防御之困

与过去主要来自病毒和木马的安全威胁不同，APT攻击破坏性之大、隐蔽性之强等特性，让如今企业所面临的网络安全风险愈加复杂。与此同时，以APT攻击为代表的未知威胁非常容易击穿传统技术手段组成的网络安全防御体系，其威胁远远大于普通的木马病毒。

在专注于网络分析技术研究与产品开发的科来看来，利用各种系统漏洞或软件漏洞进行渗透的恶意代码已成为目前APT攻击的主要手段，而利用或盗用合法的认证签名，利用浏览器漏洞和水坑攻击将替代邮件攻击将成为APT攻击发展的趋势，与此同时，攻击者也更注重对沙盒的反检测技术，从而躲避安全厂商的动态检测技术。

而就目前对APT攻击的防御现状来看，传统的安全软件多以防范病毒和木马为主，无法有效防范漏洞攻击。只有当漏洞被黑客大规模攻击时，安全厂商才有机会监测到漏洞。而传统的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统等检测技术也主要是网络边界和主机边界进行检测,它们均缺乏对未知攻击的检测能力和对流量的深度分析能力。这种滞后响应的方式已经无法适应新的安全形势。

APT攻击来袭如何应对？

对APT攻击的防御与传统的安全防护理念有所不同，APT攻防是一个对抗的过程，攻防双方都在不断更新自己的技术手段。而发展至今，应对APT的手段也是多种多样：黑白名单、动态检测技术、大数据分析、全流量数据审计等是目前应用较多的防御方式。

但从安全角度来说，某一种防御技术或在某一阶段设置安全策略的效果是有限的。科来指出，防御APT攻击，最重要的是要在事前事后都做好应对方案。在以上众多的APT防御手段中，动态检测技术是目前一种较为有效的检测手段，其可以记录样本运行后的所有行为，以此判断出是否是恶意的APT攻击代码。但这一技术也有其不足之处：有些高级的木马会做虚拟机检查，如果发现是虚拟机，则不会执行攻击行为，避免暴露自己。因此，动态检测技术也不是万能的，虚拟机环境不匹配，也无法诱导木马的攻击行为。

由此，基于此硬件模拟的虚拟化动态检测技术应运而生，其能够模拟硬件的所有指令，让木马无法检测是一个虚拟环境，具有防木马反检测的能力。据了解这也是Fire eye采用的技术，而目前国内只有科来在应用该项技术。

但对APT攻击的防御绝非如此简单，对于APT攻击而言，没有百分之百的安全防护手段，在攻击成功后，用户还必须转变思维，做到快速发现威胁，快速响应威胁，以实现发现防御APT。

具体而言，在虚拟化动态检测技术应用之后，从流量中便无法再获得攻击样本，木马会通过隐蔽信道技术，通过加密或躲到正常通讯里进行C&C通讯，为了躲避检测，通讯数据量非常少，要想区分这些数据如大海捞针。可正是因为想隐藏才会产生可疑的行为数据，此时通过建立异常行为模型，用异常流量检测技术来发现分析隐藏在正常通讯中的特殊编码、心跳等数据，为进一步取证分析提供线索。

D1Net评论：

常言道“智者千虑难免一失”。除了以上手段，全流量安全审计也是APT分析的重要保障，亦是对未知攻击分析取证的必要手段。无论攻击者如何隐藏，只要攻击通过网络，必然会产生相应数据，企业只有做到全流量数据记录，同时对网络数据进行深度分析，并建立企业私有云，才能做到发现追踪取证防御APT，做到百密而无一疏。