高级持续威胁(APT)是一种隐秘的威胁行为,通常由国家或国家支持的组织发起,其目标是未经授权访问计算机网络并在延长的时间内保持不被检测。近年来,这个术语还可能指非国家支持的组织,为了特定目标而进行大规模的有目的入侵。这些威胁行为的动机通常是政治或经济性的。各个主要业务部门都曾记录到高级行为者通过有特定目标的网络攻击,无论是为了窃取、监视还是破坏。
定义
APT的定义可能有所不同,但可以通过以下几个要点概括:
1. 高级
- 情报收集技术: 威胁背后的运营者拥有全方位的情报收集技术,可能包括商业和开源的计算机入侵技术,甚至可能扩展到国家的情报机构。虽然攻击的个别组件可能不被视为特别“高级”(例如,由通用的DIY(自制)恶意软件构建工具生成的恶意软件组件,或者易于获取的攻击材料),但运营者通常可以根据需要访问和开发更先进的工具。他们通常结合多种定位方法、工具和技术,以达到并侵害目标并保持对其的访问。
- 操作安全: 运营者可能表现出有意识的专注于操作安全,这使他们与“不太先进”的威胁有所区别。
2. 持续
- 具体目标: 运营者有特定的目标,而不是为了金融或其他收益而机会主义地寻求信息。这意味着攻击是通过持续的监视和互动来实施的,以实现定义的目标。这并不意味着一系列持续的攻击和恶意软件更新。实际上,通常采用“低调而缓慢”的方法更为成功。
- 长期访问: 运营者通过持续监视和互动来实现其明确定义的目标。这并不意味着连续的攻击和恶意软件更新。实际上,采用“低调而缓慢”的方法通常更为成功。
3. 威胁
- 能力和意图: APT是威胁,因为它既具有能力又有意图。APT攻击是由协调的人为行为执行的,而不是由无意识和自动化的代码片段执行。
历史与目标
在2005年,英国和美国的CERT组织首次发表了关于有针对性的社会工程邮件传送特洛伊木马以外泄敏感信息的警告。尽管这种方法在90年代早期就已经被使用,但它本身并不构成APT。术语“高级持续威胁”被认为起源于2006年的美国空军,其中Colonel Greg Rattray被认为是该术语的创造者。Stuxnet计算机蠕虫是一种具有高级持续威胁特征的恶意软件,该蠕虫于2010年发布,主要针对计算机硬件。
APT攻击特点
以下是APT攻击的主要特点:
特点 | 描述 |
---|---|
高级 (Advanced) | 运营者具有广泛的情报收集技术,包括计算机入侵技术,有时可能涉及国家的情报机构。 |
持续 (Persistent) | 攻击者有明确定义的目标,通过持续的监视和互动来实现这些目标。攻击者的目标是长期访问目标,而不仅仅是短期入侵。 |
威胁 (Threat) | APT攻击是由具有能力和意图的协调人为行为执行的,而不是由无意识和自动化的代码片段执行。攻击者通常受到资金和组织支持。 |
APT攻击历史
- 2005年: 警告指出有关有针对性社会工程邮件传送特洛伊木马的威胁。
- 2006年: 术语"高级持续威胁"被认为起源于美国空军,由Colonel Greg Rattray创造。
- 2010年: Stuxnet计算机蠕虫发布,表现出高级持续威胁的特征,主要针对计算机硬件。
APT攻击的历史和目标表明,这种威胁行为具有极高的组织性和技术含量,对各行业都构成潜在威胁。
注: 本文旨在提供关于APT攻击的综合信息,并非详尽无遗。有关具体APT攻击事件和最新威胁,请参考专业安全机构的报告和建议。