典型APT攻击事件

在7月20日的外交部例行记者会上，路透社记者提问美国、英国等部分国家及欧盟、北约在周一同时发表声明，指责中方发动网络攻击。外交部发言人赵立坚表示美国纠集盟友在网络安全问题上对中国进行无理指责，此举无中生有，颠倒黑白，完全是出于政治目的的抹黑和打压，中方绝不接受。

实际上，美国才是全球最大的网络攻击来源国。根据中国网络安全公司360报告，来自北美的APT组织攻击手法复杂且战备资源充足，持久聚焦特定行业和单位。中国国家互联网应急中心（CNCERT）数据显示，2020年位于境外的约5.2万个计算机恶意程序控制服务器控制了中国境内约531万台主机。就控制中国境内主机数量来看，美国及其北约盟国分列前三位。此外，360公司报告还显示，美国中央情报局的网络攻击组织APT-C-39曾对中国航空航天、科研机构、石油产业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。上述攻击严重损害中国的国家安全、经济安全、关键基础设施安全和广大民众的个人信息安全。

什么是APT攻击

APT攻击是将所有网络攻击手段综合起来的一种长期、持续性的网络攻击形式，它的攻击手法十分隐蔽，往往潜伏在内网中，通过横向移动持续性获取权限，能够给攻击目标带来巨大的伤害。攻击目标通常是政府机构、具有高价值的公司，主要目的是窃取情报、破坏关键基础设施。

上文提到的长达十一年的网络渗透攻击就是典型的APT攻击。APT攻击潜伏性强，且通过获取内部权限达到目的，很难被防火墙等传统安全设备所检测，让各大企业防不胜防。那么，真的就没有能够有效防范APT攻击的工具了吗？

APT攻击与蜜罐

针对其攻击模式和攻击特点来看，蜜罐无疑是检测防范APT攻击的最有利解决方案。

通过仿真真实资产，蜜罐伪装成黑客目标，诱导黑客攻击，在保护真实资产的同时获取黑客攻击时使用的工具、方法、针对目标等关键信息，高级蜜罐更是支持黑客追踪溯源功能，能够由此追溯到黑客社交账号、物理IP等信息。由于蜜罐是虚拟的不包含真正价值的，那么所有触碰到该蜜罐的行为都能视作可疑行为。对于APT攻击，在潜伏进行横向移动的时候，需要不断试探重要数据，就有极大几率触及到安全管理者刻意设置的仿真蜜罐，蜜罐能够即时反馈并收集信息，最大程度上减缓甚至是阻止了内网渗透行为带来的危害。

如何防范APT攻击

拥有大量客户信息、数据敏感的企事业尤其需要注意内网渗透攻击，那么如何有效防范APT攻击呢？

除防火墙等基础安全设备之外，应加强网络安全建设，增设蜜罐类产品，提高检测水平，增强内网防护能力。

做好网络准入管理工作，设置员工分级分组权限，增设异常行为预警阻断功能。

加强对企业员工网络安全意识的培养，账号密码不泄露，不乱点链接不乱连设备。加强对网络安全管理员的应急措施培训，能够及时正确的应对网络安全问题。

除了应对被攻击之外，还应该做好被攻击之后的应对准备，例如敏感数据加密、做好数据库备份等操作。