APT攻击瞄准企业重要数据

APT攻击作为一种高效、精确的网络攻击方式，在近几年被频繁用于各种网络攻击事件之中，并迅速成为企业信息安全最大的威胁之一。趋势科技产品经理蒋世琪表示：“APT的攻击手法在于隐匿自己，针对特定对象，长期、有组织、有计划的窃取数据，这种发生在数字空间偷窃资料、搜集情报的行为类似于‘网络间谍’。”正是由于APT的隐蔽性，把握其中的攻击规律就变得尤为重要，对此，蒋世琪总结回顾了2012年APT 特点，并对2013年攻击特征进行预测：

一、攻击目标和范围不断扩展。在2012年，在世界各地出现了各式各样的攻击，针对俄罗斯、韩国、越南、印度和日本等地区的攻击活动相当活跃，特别是黑客在中东地区开展的Shamoon和Mahdi攻击活动，造成巨大危害。除了这些地理位置上的不断扩张之外，我们还看到了针对技术的扩展。为了对目标进行更有效的破坏，APT攻击在工具上不断精进，而且在攻击范围上也不断扩展。

二、APT攻击隐蔽性日渐提升。APT攻击为了躲避安全防护软件的查杀，往往会让自身的隐蔽性更强。例如2012年，微软发现一个旧恶意软件组件会在NDIS（网络驱动程序界面规范）层建立一个隐蔽的后门，让监测变得更加困难。

三、新社交工程陷阱出现。鱼叉式网络钓鱼邮件仍然是APT攻击用来散播恶意软件的主要机制，但不是唯一的攻击路径。在2012年，一个值得关注的新社交工程陷阱利用安全厂商对恶意软件的分析作为诱饵，来传播恶意软件。此外，在2012年新发现的一种新入侵模式中，攻击者利用了Java和Flash的漏洞攻击码。而RSA公司此前的安全报告中所提到的VOHO攻击活动，也使用了相同的技术。

四、“超限”武器交易公开。“超限”武器交易是指贩卖漏洞攻击码及搭配的恶意软件，这本来是个隐秘的话题，却在2012年成为公开的秘密。美国公民自由联盟的Christopher Soghoian在VB2012大会上以此为主题进行了演讲，在演讲中他提到，“超限”武器交易出现“泛化”的趋势，其不但涉及买卖漏洞和攻击码，还涉及恶意软件的交易。

蒋世琪谈到：“APT攻击是一个在时间上具备连续性的行为，其在2012年表现出来的特征会反映在我们对于2013年的预测中。基于这种判断，趋势科技认为，在2013年，APT攻击将会变得越来越复杂，这并不仅仅表示攻击技术越来越强大，也意味着部署攻击的方式越来越灵活。以后，这类攻击将会具备更大的破坏能力，使得我们更难进行属性分析。”

具体来说，2013年APT攻击可能表现出以下三个趋势：

第一、攻击将会更有针对性：越来越多的APT攻击将会针对特定的地区、特定的用户群体进行攻击。在此类攻击中，除非目标在语言设定、网段等条件上符合一定的标准，否则恶意软件不会运行。

第二、APT攻击将更有破坏性：在2013年，APT攻击将带有更多的破坏性质，无论这是它的主要目的，或是作为清理攻击者总计的手段，都很有可能成为时间性攻击的一部分。

第三、对攻击的判断将越来越困难：在APT攻击防范中，我们通常用简单的技术指标来判断攻击的动机和地理位置。但是到了2013年，我们将需要综合社会、政治、经济、技术等多重指标进行判断，以充分评估和分析目标攻击。但是，多重指标很容易导致判断出现失误，大大提升了判断的难度。（姜姝）