典型的APT攻擊過程

今天，APT（高級持續性威脅）攻擊已經不再是新鮮話題，但卻仍是令整個安全業界頭疼的問題。作為將眾多滲透技術整合在一起實現的隱秘性攻擊手法——APT攻擊憑藉特徵未知、隱蔽性強，持續時間長等特性，令傳統的安全防護解決方案幾乎全部失效。那麼誰又能有效阻擊APT攻擊呢？目前來看，沙盒（模擬一個虛擬用戶環境）無疑是最有效的方法之一，因為其斬斷了APT攻擊的「生命鏈條」。

為何說沙盒可以斬斷APT攻擊的「生命鏈條」？在解答這一問題之前，我們先來看一個典型的APT攻擊過程，大約分為五步：

第一步，攻擊者會盜用一個企業的供應商或者合作夥伴的賬號，從而達到訪問企業內網的目的；

第二步，攻擊者利用自製的攻擊工具（利用已知的和0day等未知的安全漏洞），在企業的某一台伺服器或PC上種下木馬病毒；

第三步，該木馬會在企業網路中不斷滲透，尋找企業關鍵的資料庫，盜取包括企業核心數據，員工ID、信用卡密碼、手機號等重要信息；

第四步，通過FTP、郵件、甚至是更加隱秘的方式，不斷地把這些數據發送給攻擊者；

第五步，整個攻擊過程大約持續數個月，甚至是半年/一年。

這五步相互關聯，也就形成了APT攻擊的「生命鏈條」。而其中最關鍵的當屬第二步，即攻擊者利用0day等未知漏洞攻陷企業伺服器或PC，該攻擊方式隱蔽性強，傳統的入侵防禦系統、防病毒系統、以及web應用防火牆等均無法感知；而當攻擊者完成「突破」之後，還要經歷滲透（包括提權與遷移），竊聽，偷數據等過程，即APT攻擊需要一定的持續時間。由此不難看出，如果能夠打破APT攻擊隱蔽性和持續性這兩個特性，也就能斬斷其「生命鏈條」，即可有效阻止APT攻擊，而沙盒就具備這樣的能力。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！