今天，网络攻击已逐渐被利益因素驱动，传统的“破坏型”攻击方式已全面转向有组织、有商业目的、有利益的恶意攻击。勒索软件（Ransomware）就是在这样的大背景下诞生的，并在近两年开始呈现愈演愈烈的态势。一份最新的调查报告就显示，2016年第一季度勒索软件受害者的数量相比2015年第四季度增长了近一倍！

中招勒索软件？或许这只是一个开始

虽然中招勒索软件的人数不断扩大，但令人颇为无奈的是，普通企业用户几乎无法通过暴力破解等第三方解密方式对被加密的文件进行破解，只能被迫支付“赎金”，然后外连到黑客不断变化的C&C服务器才能拿到解密的密钥。

然而并非支付了“赎金”事情就能顺利解决，一方面是黑客本身的“职业道德”问题（可能你支付了赎金，依然拿不到密钥）；另一方面，如果你是企业员工，你很可能已经成为黑客“单点突破”的对象，你所在的企业或许也已遭受到APT（高级持续性威胁）攻击。

那么对于企业而言，如何降低中招勒索软件的几率，进而降低被APT攻击的风险？而一旦发现已被APT攻击，又该如何应对？如何调查取证呢？带着这些问题，笔者借参加2016年首届C3安全峰会之机，专访了亚信安全业APT治理战略及网关产品线总监白日和亚信安全产品管理部总监徐江明。

　　2016年首届C3安全峰会

勒索软件其实就是简易的APT攻击

或许对于企业员工来说，中招勒索软件后，很难想到其会与APT攻击有关，但对于企业的IT人员来说，就需格外注意了。对此，白日特别谈到，近两年，一种非常简易的APT攻击方式开始涌现，这就是加密勒索软件。为何说其是APT攻击呢？因为其符合APT攻击的几个关键特征——单点突破、命令与控制、横向移动、资料发掘和资料窃取。简单来说，攻击者在控制企业员工的个人终端后，一方面加密员工的重要文件，并索要赎金；另一方面，还可借助员工的终端设备突破企业的边界防护，进而控制企业的服务器，最终获取更有价值的企业数据信息。所以说，表面看起来只是企业员工中招了勒索软件，但背后可能蕴藏巨大的“危机”。

亚信安全业APT治理战略及网关产品线总监白日和亚信安全产品管理部总监徐江明

阻止APT攻击，你有六次机会

那么如何阻止或者说降低被APT攻击的几率呢？对此，白日指出，APT攻击可细分为情报收集、单点突破、外联、横向移动、信息发掘、信息窃取共六个阶段。也就是说，阻止APT攻击，你有六次机会。

第一阶段，情报收集，也就是攻击者在寻找漏洞。而对于企业来说，“人”无疑是最大的漏洞，所以加强员工安全意识的培训，正是APT防护的第一步。

第二阶段，单点突破。其实在攻击者眼中，“人”依然是破口企业边界防护的最佳选择，而其中最有效的方法就是类似于钓鱼邮件这类社会工程学攻击。但对于企业员工来说，即使提升了安全防护意识，也难免被“钓鱼”，所以亚信安全特别推出了APT邮件沙盒，可有效避免员工遭受钓鱼邮件的攻击。

第三阶段，外联。黑客在完成单点突破后，就需要对被控制的设备下达指令，或者从外界获取更多的攻击工具，以进行下一阶段的攻击。此时就必须与企业外的服务器或站点联接，而如果能阻止外联，自然就能阻止APT攻击。为此，亚信安全推出了内网安全监测解决方案，可有效阻止内网的服务器、终端等设备违规外联。

第四阶段，横向移动。如今仍有不少企业将安全防护重点集中在企业边界，忽视了内网安全防护，这就让攻击者在突破企业边界后，可以在企业内网“为所欲为”。而借助亚信安全的内网安全监测和防护解决方案，可以及时发现有风险的内网设备，及时隔离，以阻止攻击者的入侵行为。

第五阶段，信息发掘。即阻止攻击者找到企业的核心信息资产或者是重要数据，这就需要借助APT防追踪解决方案，同时还需要对这些核心资产和数据进行加密。

第六阶段，信息窃取。攻击者的最终目的就是将企业的核心信息资产或者是重要数据打包带走，此时企业的重点工作还是加强内网安全防护，阻止违规外联；并借助DRP技术，做好进一步的安全防护。

最后，白日还特别强调，APT防护不是一个技术、产品、解决方案就能扼制的，企业需做好长期持久对抗的准备，而在这个过程中，就需要借助多种技术和解决方案来实现APT攻击侦测、分析和多维度防护。为此，亚信安全针对APT攻击的各个阶段均打造了相应的防护产品和解决方案，可更好的助力企业抵御APT攻击。

中小企业也能防住APT攻击？

通过刚刚的介绍不难看出，应对APT攻击并不是一件简单的事情，似乎只有大型企业才能打造这种立体化、可视化的安全防护解决方案。但随着勒索软件等的出现，APT攻击也开始向中小企业市场拓展。因为在不少攻击者看来，中小企业不会像大型企业那样部署复杂、难以进攻的安全解决方案，而且与消费者相比，中小企业更有能力支付赎金，且网络中的资料也“更值钱”！

那么面对让大企业都头疼的APT攻击，中小企业是否有能力阻止呢？对于这一问题，白日给出了肯定的答案。他举例谈到，中小企业大多预算有限，同时缺乏专业的IT人员，为此亚信安全特别提供了轻量级的APT防护解决方案，借助带有APT侦测和治理能力的亚信安全网关产品，再搭配桌面或服务器的相关安全产品，用最简单的产品组合就能抵御大多数的APT攻击和未知威胁攻击。

APT攻击调查取证，关键核心还是人

众所周知，在网络安全领域，并没有百分百的防护解决方案，特别是对于APT攻击来说。因此企业不仅要部署APT防护解决方案，还要做好APT攻击后的调查取证准备，通过回溯APT的攻击过程（包括APT攻击是何时开始的，在企业内网中做了什么，窃取了哪些数据等等），将损失降到最低。

但针对APT攻击的调查取证并不是一件简单地事情。徐江明就指出，APT调查取证的门槛较高，需要企业能够识别、分析APT的攻击手段，并能回溯整个过程。这不仅需要企业在各个APT的攻击阶段部署相应的安全产品，更需要专业人员根据相关日志信息进行APT事件的挖掘分析。所以亚信安全不仅推出了APT调查取证产品，同时提供了专业服务平台，目的就是借助自身的专业知识和经验积累，帮助企业更好的完成APT攻击的调查取证工作。

亚信安全：不止能抵御APT攻击

如今，基于立体化、可视化的防护架构，亚信安全的解决方案已帮助大量客户成功辨析APT攻击和勒索软件。而除了APT防护，亚信安全还在积极推动企业构建“立体、可视、智能”的安全架构，既通过云安全和大数据分析技术提高了传统网关、网络、端点等纵向拦截面的威胁识别能力，还加入了云数据中心、虚拟化主机和应用层的威胁深度侦测技术，希望从多个层面确保业务安全、数据安全，帮助用户识别、分析、拦截每一个非法的业务信息流或是端点的可疑行为，旨在全面提升企业的网络安全水平。