網絡安全攻防形勢的變化對網絡安全提出了新的挑戰。萬物互聯趨勢下，企業數字化轉型浪潮下，“云大物移智”等新技術的應用，讓政企用戶的網絡安全邊界逐漸模糊，高級持續性威脅風險日益增強。當高級未知威脅穿透企業當前的安全防御體系后，如何快速做出響應，鎖定攻擊源頭，降低減小資產損失，將成為客戶最關心的問題。

高級持續性威脅是什么？

江民高級威脅產品部持續追蹤全球的ODAY攻擊和APT事件，以攻擊者的視角去分析跟蹤多起威脅活動，總結了幾點高級威脅的演變規律：

（1）高級威脅隱蔽性地在逐步提高。首先，威脅流量占全流量的比例不明顯，甚至出現了在整體流量占比下降的趨勢。再者，部分場景上，高級威脅流量的發送頻度也有降低。但是，這并不表明高級威脅在減少，反而說明其隱蔽性的提升。

（2）加密的高級威脅流量比重在逐漸上升。如果高級威脅流量采用加密技術，留給分析者就只剩下元數據了，內容層面的分析帶來了很大的挑戰。

高級持續性威脅（Advanced Persistent Threat，APT），又叫高級長期威脅。“高級”是指計劃、執行APT攻擊需要比傳統攻擊更高的定制程度和復雜程度。攻擊的發起方需要系統性地研究和利用系統漏洞，確保滲透成功。“持續性”是指從滲透開始到攻擊發生的周期長，動作持續。通過對目標的持續監控，確保控制目標和達到攻擊意圖。“威脅”是指有特定組織參與策劃的攻擊，攻擊目標是高價值的組織或者資產。攻擊一旦得手，會造成巨大的經濟損失或政治影響。

高級威脅防御的難點：

從技術層面來講，應對高級威脅的產品和方案越來越豐富，但是能夠真正實時跟蹤最新的APT攻擊，并對未知攻擊做出精確預判的并不多。傳統上認為，流量設備是檢測高級威脅的重要戰場，根據最新的高級威脅攻擊的發展狀況，傳統流量設備的局限性日益突出，表現在下面幾個方面：

（1）基于規則的檢測方案滯后性明顯。同樣，情報更新也有滯后性。

（2）純粹的流量設備算力有限，并不能實時進行大數據分析。

（3）攻擊場景多元化，發起攻擊的組織日益增多，抽象出統一的對抗模型的技術難度高。

高級威脅的防御策略：
 

江民高級威脅產品部在高級威脅對抗實踐中持續改進，提出了自己的見解。

首先，應對未知高級威脅，歸根結底還是需要提高行為分析模型的準確度；真實的情況往往是高級威脅在流量中表現為多個不同的會話，因此會話關聯才能真正地把“蛛絲馬跡”串聯起來，才能形成攻擊過程。

其次，真正地從攻擊者視角進行攻擊捕獲，可以有效彌補傳統對抗性檢測方案的不足。赤豹高級威脅檢測與響應系統(NDR）是江民流量安全的落地產品，能夠較為完整的覆蓋ATT&CK模型，可以形成攻擊回溯。

再者，與江民大數據分析平臺進行數據協同，通過異常行為畫像等多重分析可以提升未知高級威脅的識別率。與江民終端安全檢測與響應（EDR）產品的緊密聯動，可以有效提升自動化處置能力，快速鎖定攻擊范圍，降低高級威脅對用戶核心數字資產的破壞。

關于江民高級威脅產品部：

江民高級威脅產品部致力于高級威脅對抗的研究，通過大量的實戰經驗持續豐富產品的檢測模型。我們的口號是：不放過任何已知的高級威脅，不停止對未知高級威脅的跟蹤和對抗。