IT168：2014年APT***发展趋势及防御策略调研

【注：本文转载自IT168，难得有国内专业媒体做安全技术调查。大家可以关注一下图7和图8的结果】

近几年来，APT***已经成为业界关注和讨论的热点，APT***以其独特的***方式和手段，使得传统的安全防御工具已无法进行有效的防御。APT攻 击不是一个整体，而是将众多******技术进行整合而实现的隐秘性的***手法，其体现出两个方面的特点，持续时间长和“高级”。其实并不是真的很高级，不一 定非要用0day才算是APT，APT是通过使用一系列复杂的***手法，在相当一段时间内逐步完成突破、***(包括提权与迁移)、窃听、偷取数据等几步的 一个过程。

　　企业该如何应对APT***?APT***主要针对的行业有哪些?经过了近几年的发展，APT***又发生了哪些变化?为此，我们 针对APT***的发展趋势和防御策略进行了为期一个月的在线调研活动。本次调研共收集到有效问卷194份，我们通过数据的整理和分析得到了以下结论，希望 我们的报告能为您更多的了解APT***及其防护策略有帮助！

　　主要结论：

　　1、 用户对APT***的认知还处于初级阶段，大部分用户听说过APT(81%)，但可以详细了解APT***所造成的危害的用户却非常少(14%);

　　2、 电子邮件(68%)和社交网站(65%)已超越了病毒(64%)、恶意链接(62%)、钓鱼网站(54%)等传统的******途径，成为***者发动APT***最主要的途径;

　　3、 APT***防护是一个系统工程，这类威胁的防范必须融入到一个更大的监测及预防策略中，并整合企业现有的安全防护网络。

　　4、 在企业考虑做好APT***防护的策略问题上，超过40%的用户倾向于从网络安全、数据安全、终端安全等不同角度协同来解决企业防护ATP***的问题。

　　第一节： APT***的基本认知

　 　在参与本次调查的用户中，81%的用户听说过APT，只有19%的用户暂未听说过APT***(图一)。然而，在另一项能否清楚了解APT***所造成的危 害调查中，却只有14%的用户对APT***十分了解，61%的用户表示只是大概了解APT***，还有25%的用户表示基本不了解APT***所造成的危害 (图二)。

　　由此，我们可以看到，用户对于APT的认知基本还处于初级阶段，而企业要想有效的防御APT***，对员工的安全教育是首当其一的，人的因素对于信息安全防护的成败起着至关重要的作用。

▲图一：您是否听说过APT***?(数据来源：2014 IT168调研平台)

▲图二：您是否能清楚了解APT***所造成的危害?(数据来源：2014 IT168调研平台)

　 　我们梳理了近年来发生过的典型APT***案例，很欣慰的看到大部分用户基本上都听说或了解过这些案例。其中，Google极光***、RSA SecurID窃取***、火焰病毒、夜龙***这四个APT***案例受到的关注最多，均有超过半数的用户听说过这些APT***案例(图三)。从这一点我们可 以看到，APT***给企业所带来的危害是非常巨大的，这不仅影响到了企业的经济利益，对于企业的声誉也带来了极其恶劣的影响。

▲图三：您听说过以下哪些典型的APT***案例?(数据来源：2014 IT168调研平台)

　　第二节：APT***发展趋势

　 　在APT***发展趋势方面的调查部分，我们针对APT***的主要目标行业、APT***的主要途径、APT***的特点等几方面进行了调查。在主要的目标行 业调查中，金融、政府是APT***的主要目标行业，分别高达84%和77%。接下来是电信达到66%，军队达到64%，工业企业54%，其他占到14% (图四)。

▲图四：APT***的主要目标行业有哪些?(数据来源：2014 IT168调研平台)

　 　在APT***的主要途径调查中，我们列出了APT***可能利用的大部分工具、系统漏洞、病毒等。其中，电子邮件和社交网站成为***发动APT***最主要 的途径，电子邮件被利用高达68%，社交网站被利用高达65%(图五)。从下图我们看到，电子邮件和社交网站甚至超越了病毒、恶意链接、钓鱼网站等传统的 ******途径。

　　研究出现这一趋势的关注因素，我们看到，近几年来随着社交网络的流行，企业传统的安全防护手段已无法有效对社交网络进行 管控，而电子邮件一直以来就是企业安全防护的重灾区。除了缺乏有效的安全管控策略，员工的安全意识在这方面就显得尤为重要了。电子邮件和社交网站的运营均 属于员工个人，***者也正是在这一点上看到了机会，对于企业中安全意识单薄的员工个人的电子邮件、社交网站进行***作为入手，一步步***企业的服务器和网络。

▲图五：APT***的最主要途径有哪些?(数据来源：2014 IT168调研平台)

　 　APT***之所以让企业难以防护，其主要原因是它独特的***方式和手段难以检测到。在我们以下的调查中，最让企业困扰的APT***特点***空间路径不确 定、***渠道不确定、单点隐蔽能力强、持续性***、长期潜伏均有超过60%的用户认为这些是最让企业困扰的APT***特点(图六)。

▲图六：哪些APT***的特点最让企业困扰?(数据来源：2014 IT168调研平台)

　　第三节：APT***防护策略

　　在APT***防护策略调查部分，最有效的APT***防护技术调查中，异常检测方案受到大部分用户的认可，有77%的用户选择了此项。另外，沙箱方案有69%的用户选择，全流量审计方案有66%的用户选择，基于未知恶意代码检测有55%的用户选择(图七)。

　　在最有效的APT防护产品调查中，防病毒、数据防泄密(DLP)、大数据安全分析、下一代防火墙、***检测都受到了用户的认可，超过50%的用户都认为这些安全防护产品是防护APT***的最有效的解决方案(图八)。

　 　当然，APT***作为企业信息安全的一大隐忧，这类威胁的防范必须融入到一个更大的监测及预防策略中，并整合现有的网络防御。因此，企业用户会更加关注 如何加强防范APT***与进阶威胁、避免***破坏网络及泄露敏感信息，更能完全的发挥用户已投资的安全防护产品和技术。

▲图七：哪类APT***防御的技术最有效?(数据来源：2014 IT168调研平台)

▲图八：哪类产品或方案类型对APT***防御最有效?(数据来源：2014 IT168调研平台)

　　同时，在企业考虑做好APT***防护上，超过40%的用户更倾向于从不同角度协同来解决企业防护ATP***的问题。另外，单从网络安全角度考虑来解决APT***问题的占24%，从数据安全角度考虑的占25%，从终端安全考虑的占10%。

　　因此，APT防护将会发展成一个较大的市场，这也一定是一个不断对抗的过程，也是一个需要长期研究和投入的领域，而不是在硬件上加一个特性或功能就能从根本解决问题的领域。

▲图九：您更倾向于从以下哪个角度来考虑防御APT***?(数据来源：2014 IT168调研平台)