想了解APT與加密勒索軟件?目前全球APT攻擊趨勢如何?針對APT攻擊，企業應如何防護?針對最普通的APT攻擊方式加密勒索軟件，現今有何對策?帶著這些疑問，51CTO記者采訪到APT攻擊方面的安全專家，來自亞信安全的APT治理戰略及網關產品線總監白日和產品管理部總監徐江明。

APT攻擊成頭號網絡安全殺手自2010年開始，APT攻擊就已經成為取代傳統黑客攻擊的一種非常重要的攻擊手段，而且呈現出愈演愈烈的形勢。

白日認為，目前，在攻擊形態上，其主要呈現為一個非常簡易的、最普通的APT攻擊方式——惡意加密勒索軟件。

在攻擊目標上，其已經不僅僅鐘情于傳統的大型企業，越來越多的中小企業成為攻擊對象，而且無論是金融還是電信，能源、政府等多個行業都成為眾矢之的。

如今，APT攻擊頻率越來越高，影響越來越大。

APT攻擊已成為國與國之間的第四戰場，成為國與國之間，領導人之間會晤的重要話題。

總之，透過近些年的安全事件，我們會發現：APT攻擊越來越頻繁，已經逐漸成為企業頭號網絡安全殺手。

最普通、最簡易的APT攻擊方式——惡意加密勒索軟件上面我們說到，現在APT攻擊的形態主要體現為惡意加密勒索軟件。

那么，勒索軟件的發展現狀如何呢?不幸中招了該怎么辦呢?除了交付贖金還有其他辦法么?◆現在勒索軟件的發展現狀如何呢?早在2005年勒索軟件就已經出現，最初僅僅是通過鎖定電腦屏幕作為勒索手段。

直至2013年，加密型的勒索軟件出現，通過網頁惡意廣告、電子郵件附件等方式入侵電腦，利用加密秘鑰來惡意加密文件。

而且根據加密方式的不同，勒索軟件也不同，如：CryptoWall、CryptoL0cker、CTB Locker和CERBER等等。

以加密型勒索軟件CERBER為例，不僅有語言選擇和語音等新功能，更限制中招用戶僅能通過比特幣支付贖金。

勒索軟件發展至今天，已經讓很多企業產生了不同程度的損失。

據一項勒索軟件調查報告顯示，2015年，全球勒索軟件數量上升35%，其中，43%的勒索軟件攻擊目標為企業。

預計未來針對企業進行攻擊的勒索軟件比例將不斷上升，企業將會成為勒索軟件攻擊的主要目標。

◆不幸被加密勒索軟件攻擊該怎么辦?無論是個人還是企業，如不幸中招。

在沒有備份的情況下只有交付贖金，或者拒交贖金放棄信息。

除此以外，別無他法。

因為對于已知的加密算法，技術人員可以通過逆向分析的方法解密，但是勒索軟件的加密算法多數都是未知的，無法做到逆向。

◆遭遇勒索軟件基本無解，這該如何是好?因為中招后基本無解，所以一切只能從源頭做好防范。

就企業而言，大部分加密勒索軟件攻擊屬于淡定型惡意攻擊，它會用到高級定制化的附件或者VR，因其不具有普遍性，所以通過傳統的安全軟件無法識別。

攻擊者只要對加密勒索軟件的代碼進行修改，就可以穿過防火墻，直接到達桌面終端，而桌面終端的殺毒軟件無法對其進行查殺，因為沒有通過特殊碼進行匹配，所以點擊就中毒了。

此時，只能依靠下一代威脅偵測來解決，例如亞信安全提供了一套針對加密勒索軟件的解決方案，該方案提供防釣魚郵件的行為匹配，行為識別，具有最新的未知威脅的監控能力。

對于企業的安全防護來說，白日建議企業應從以下兩方面做起：一方面，提高員工的安全意識，這樣至少可以解決60%的問題。

特別是長期戰斗在一線的工作人員，在上網的時候要提升自身的安全意識，不要打開不明郵件，以防被釣魚。

另外，在瀏覽網站時，不要輕易打開惡意鏈接。

總之要學會自我教育，自我防范意識。

另一方面，通過安全技術和安全產品及解決方案來對企業安全防護進行補充。

這樣雙管齊下，通過個人安全意識和主動防御相結合的方式可以解決80%以上的惡意勒索軟件的攻擊，把勒索軟件帶來的危害降到最低。

◆特別提醒：感染勒索軟件的電腦及時斷網假如網絡中有一臺電腦不幸遭遇勒索軟件攻擊，請及時斷網。

為啥要這么做?因為現在加密勒索軟件攻擊通過外圍進行信息搜集，單點突破并對個體進行襲擊，對目標企業核心資產進行全盤加索要贖金這三步后，已經進入到企業網絡內部。

這時候有些典型的APT類似于炒股短線,快進快出，索要到贖金就罷了。

但是真正的APT攻擊或者黑客組織可能不會就此罷休，真正的APT攻擊可能目標不僅僅是你的電腦，他可能從你的電腦橫向移動到企業中的其他終端或者服務器上，或者鎖定整個企業的設備從而進行勒索，或者潛伏下來，長期獲取公司數字資產，盜取信息，對企業形成長期持久性的危害。

我們知道，一個APT攻擊的周期短則半年，長則十多年都有。

因此，假如一個員工遭遇勒索軟件攻擊，很有可能攻擊會通過員工的桌面然后跳轉到其他員工的桌面或者企業的服務器上，針對企業實施勒索或者長期潛伏搜集信息。

白日向記者表示，這種橫向移動是現在的企業用戶難以防范的。

因為傳統安全防護理念認為所有威脅都來自于外部，沒有發現內部是最大的安全源。

現在企業用的還是傳統的防御體系和防御架構，企業的安全投資大多是在邊界、服務器和終端上，沒有基于內網的一體化安全防護。

防護邊界的設備無法檢測到橫向移動，只有通過內網檢測設備才能清楚攻擊是否從一臺內網PC轉向另一臺內網PC。

因此，企業需要通過一定的技術方法和產品幫助管理人員找到由內到內的攻擊方式。

考慮到此，亞信安全的APT解決方案實現了能夠對外網邊界、終端和服務器，以及內網進行安全防護的產品平臺。

企業如何及時防范APT攻擊?白日表示，APT攻擊主要六個步驟，分別是：情報收集、單點突破、命令與控制(C&C 通信)、橫向移動、資產/資料發掘、資料竊取。

因此，APT攻擊的防護也應從這六個階段出發。

第一，加強員工安全意識培訓以及內網安全，減少系統、服務器、終端的漏洞以及因人而帶來的漏洞。

從而讓攻擊者找不到漏洞，收集不到信息而無從下手。

第二，防范單點突破，例如社交釣魚郵件類社會工程學攻擊。

可以利用亞信安全深度威脅郵件網關(DDEI)進行防護。

第三，完成單點突破后，攻擊者就需要對被控制的設備下達指令，或者從外界獲取更多的攻擊工具，以進行下一階段的攻擊。

所以，這時要做的就是應用亞信安全深度威脅終端取證及行為分析系統(DDES)等產品對內網的服務器、終端等設備違規外聯進行阻止。

第四，針對橫向移動。

如上所述，企業應注重內網安全防護，借助亞信安全深度威脅終端取證及行為分析系統(DDES)及時發現有風險的設備，及時阻止入侵行為。

第五，對企業核心信息資產進行加密，或者DRP，或者使用APT防追蹤的策略，從而防止黑客找到這些核心信息資產。

第六，加強內網安全防護，通過DRP技術，違規外聯檢測等技術阻止攻擊者將企業的核心信息資產或者是重要數據打包帶走。

遭遇APT攻擊后需做好調查取證工作此外，針對APT攻擊，企業在部署APT防護解決方案的同時，還要做好APT攻擊后的調查取證準備，通過攻擊回溯將企業損失將至最低。

對此，徐江明表示，針對APT攻擊的調查取證并不是一件簡單的事情，在APT攻擊調查取證方面企業面臨很大挑戰。

其一，企業布防的安全設備每天會產生大量的安全日志，面對大量的安全事件，在人力資源有限的情況下處理事件的先后就成了問題。

其二，企業有沒有能力分析判斷流量或者文件對自己是否有害。

其三，企業是否能夠建立知識庫，避免被同一攻擊弄的焦頭爛額。

為了解決調查取證難題，亞信安全最新發布了CTIC平臺(高級威脅調查取證中心)，該中心可以針對高級威脅的專有日志進行分析，日志收集專而精，日志分析、規則編寫更精準。

目前CTIC中心提供的服務內容主要基于日志倉庫(亞信安全所有安全產品日志、Windows、Linux等系統日志)，其設計目標保本地化2000家企業客戶日志數量長達3年。