《请君入瓮——APT攻防指南之兵不厌诈》—第1章1.2节APT定义

本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第1章1.2节APT定义，作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。

1.2 APT定义
请君入瓮——APT攻防指南之兵不厌诈
虽然大家一般都会习惯照搬维基百科（Wikipedia）的说法来解释APT，但是我们希望读者能够从更广义的角度了解APT。维基百科里的定义介绍了APT的一些必备要素（http://en.wikipedia.org/w/index.php?title=Advanced_Persistent_Threat&oldid=421937487）。

Advanced（高级的）：发动APT攻击的入侵者能够进行全方面的情报收集。他们不仅会掌握计算机入侵技术和技巧，还具备传统的情报收集领域的能力，会使用传统的情报收集技术（例如电话拦截和卫星成像等技术）。把每次攻击拆开看的话，虽然每个独立部分往往无法称得上是“高级的”（例如，攻击所用的恶意软件通常是由DIY自动生成工具组装出来的成品，或者是由随手可得的exploit资料简单处理而来的小程序）1，但是入侵者通常可以因地制宜地使用更高级的现成程序，或者可以独立开发更高级的工具。在APT攻击中，他们会结合了多种攻击方法、各类工具和手段，不仅能够达到访问、破坏拟定目标的目的，而且还能保护他们对这个既定目标的控制权。
Persistent（持续的）：APT的入侵都是经过精心策划的行动。为了最大化经济利益和其他方面的收益，入侵者不会出于侥幸想法而轻率地发起攻击。APT 攻击不仅意味着入侵者的主观故意性，而且证明了入侵事件的背后必然存在幕后的操纵者。为了达到不可告人的目的，攻击人员会不断地监测、试探、选择要进攻的目标。这并不是在说入侵者会“进行持续不断的攻击”或者“不断更新恶意软件来发动攻势”。事实上，“低频率慢更新”的攻击方式更见成效2。一旦入侵者发现目标系统脱离控制，他们就会尝试重新发起进攻，而且绝大多数情况下他们应该会成功。
Threat（威胁，攻击）：APT称作“威胁”的原因是它兼备了攻击的能力和意图。人们必须经过组织和协调才能开展APT的攻击行动，所以APT绝不是在程序里点两下鼠标就可自动完成的无意识行为。入侵者目的明确，技术熟练，动机充分，组织分工得当，并且有资金支持。
本质上说，只有那些涉及境外组织指使，针对特定目标进行的长期而蓄意的攻击才叫作APT。2010年，Google的一篇关于“极光行动（Operation Aurora）”的报道把APT这个词带入了公众视野。实际上，媒体报道的数年之前，APT这个术语就已经存在；那时只有政府部门的安全专家才会用得上这个词。但是在极光行动曝光之后，APT这个术语逐渐在媒体上泛滥，所有精巧的持续的攻击都被叫做了APT。其中的一些攻击当然不是真正意义上的APT，但是人们也将其称之为APT。

数十年前，政府部门就开始讨论APT了。在那时，只要不牵扯境外组织，黑客个人发起的蓄意攻击往往都称为持续性攻击（PT）。PT故事里的坏家伙们都有各自的资源和动机，他们比负责维护的安全团队技高一筹。始终耍着后者团团转。他们在利用这种投资3谋求金钱上的回报，或者抱有其他的动机发起攻击。

攻击的最高级（Advanced）的形式，当属有资金支持（exploit和工具的研发、改进）的那些黑客的攻击。毕竟单挑的好汉通常斗不过世界各地的政府、大型安全企业，也没有职业犯罪团体那么厉害。数以千计的个人和团体，为了各自利益，奔着铜臭味而钻研攻击技术。在拿这些本事赚钱的家伙里，越能赚钱的家伙自然越有实力。相比之下，个人资助的对手4知识积累的速度相对缓慢。

1译者注：BackTrack的自动化工具SET就可以将exploit打包到现有程序或文档里。经过数年的发展，自动化生成工具已经非常成熟。
2译者注：请想象一下自动化步枪的“连发”和“点射”的不同效果；网络战里的靶子也是有智能的——防守方会频繁更新防御手段和策略。对于入侵者来说，开场之时就把高科技的技术手段用尽也可能对日后攻击其他目标不利；搞不好守方的安全人员（或外部厂商）在攻方达成全部目标之前就推出“疫苗”之类的防范措施，届时攻方黔驴技穷的可能性就大大增加了。
3译者注：干坏事有被抓住的风险，而且有相当的成本，所以作者认为这是一种风险投资。具体内容请参见“前言”中的“欺骗始计”。
4作者注：指自己研究或有其他个人资助的专业人士。
本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。