網(wǎng)絡(luò)安全攻防形勢的變化對網(wǎng)絡(luò)安全提出了新的挑戰(zhàn)。萬物互聯(lián)趨勢下，企業(yè)數(shù)字化轉(zhuǎn)型浪潮下，“云大物移智”等新技術(shù)的應(yīng)用，讓政企用戶的網(wǎng)絡(luò)安全邊界逐漸模糊，高級持續(xù)性威脅風(fēng)險(xiǎn)日益增強(qiáng)。當(dāng)高級未知威脅穿透企業(yè)當(dāng)前的安全防御體系后，如何快速做出響應(yīng)，鎖定攻擊源頭，降低減小資產(chǎn)損失，將成為客戶最關(guān)心的問題。

高級持續(xù)性威脅是什么？

江民高級威脅產(chǎn)品部持續(xù)追蹤全球的ODAY攻擊和APT事件，以攻擊者的視角去分析跟蹤多起威脅活動(dòng)，總結(jié)了幾點(diǎn)高級威脅的演變規(guī)律：

（1）高級威脅隱蔽性地在逐步提高。首先，威脅流量占全流量的比例不明顯，甚至出現(xiàn)了在整體流量占比下降的趨勢。再者，部分場景上，高級威脅流量的發(fā)送頻度也有降低。但是，這并不表明高級威脅在減少，反而說明其隱蔽性的提升。

（2）加密的高級威脅流量比重在逐漸上升。如果高級威脅流量采用加密技術(shù)，留給分析者就只剩下元數(shù)據(jù)了，內(nèi)容層面的分析帶來了很大的挑戰(zhàn)。

高級持續(xù)性威脅（Advanced Persistent Threat，APT），又叫高級長期威脅。“高級”是指計(jì)劃、執(zhí)行APT攻擊需要比傳統(tǒng)攻擊更高的定制程度和復(fù)雜程度。攻擊的發(fā)起方需要系統(tǒng)性地研究和利用系統(tǒng)漏洞，確保滲透成功。“持續(xù)性”是指從滲透開始到攻擊發(fā)生的周期長，動(dòng)作持續(xù)。通過對目標(biāo)的持續(xù)監(jiān)控，確保控制目標(biāo)和達(dá)到攻擊意圖。“威脅”是指有特定組織參與策劃的攻擊，攻擊目標(biāo)是高價(jià)值的組織或者資產(chǎn)。攻擊一旦得手，會(huì)造成巨大的經(jīng)濟(jì)損失或政治影響。

高級威脅防御的難點(diǎn)：

從技術(shù)層面來講，應(yīng)對高級威脅的產(chǎn)品和方案越來越豐富，但是能夠真正實(shí)時(shí)跟蹤最新的APT攻擊，并對未知攻擊做出精確預(yù)判的并不多。傳統(tǒng)上認(rèn)為，流量設(shè)備是檢測高級威脅的重要戰(zhàn)場，根據(jù)最新的高級威脅攻擊的發(fā)展?fàn)顩r，傳統(tǒng)流量設(shè)備的局限性日益突出，表現(xiàn)在下面幾個(gè)方面：

（1）基于規(guī)則的檢測方案滯后性明顯。同樣，情報(bào)更新也有滯后性。

（2）純粹的流量設(shè)備算力有限，并不能實(shí)時(shí)進(jìn)行大數(shù)據(jù)分析。

（3）攻擊場景多元化，發(fā)起攻擊的組織日益增多，抽象出統(tǒng)一的對抗模型的技術(shù)難度高。

高級威脅的防御策略：
 

江民高級威脅產(chǎn)品部在高級威脅對抗實(shí)踐中持續(xù)改進(jìn)，提出了自己的見解。

首先，應(yīng)對未知高級威脅，歸根結(jié)底還是需要提高行為分析模型的準(zhǔn)確度；真實(shí)的情況往往是高級威脅在流量中表現(xiàn)為多個(gè)不同的會(huì)話，因此會(huì)話關(guān)聯(lián)才能真正地把“蛛絲馬跡”串聯(lián)起來，才能形成攻擊過程。

其次，真正地從攻擊者視角進(jìn)行攻擊捕獲，可以有效彌補(bǔ)傳統(tǒng)對抗性檢測方案的不足。赤豹高級威脅檢測與響應(yīng)系統(tǒng)(NDR）是江民流量安全的落地產(chǎn)品，能夠較為完整的覆蓋ATT&CK模型，可以形成攻擊回溯。

再者，與江民大數(shù)據(jù)分析平臺(tái)進(jìn)行數(shù)據(jù)協(xié)同，通過異常行為畫像等多重分析可以提升未知高級威脅的識別率。與江民終端安全檢測與響應(yīng)（EDR）產(chǎn)品的緊密聯(lián)動(dòng)，可以有效提升自動(dòng)化處置能力，快速鎖定攻擊范圍，降低高級威脅對用戶核心數(shù)字資產(chǎn)的破壞。

關(guān)于江民高級威脅產(chǎn)品部：

江民高級威脅產(chǎn)品部致力于高級威脅對抗的研究，通過大量的實(shí)戰(zhàn)經(jīng)驗(yàn)持續(xù)豐富產(chǎn)品的檢測模型。我們的口號是：不放過任何已知的高級威脅，不停止對未知高級威脅的跟蹤和對抗。