APT攻防

APT攻击与以前的攻击相比有很大区别,首先,它是面向各种终端进行突破,当一个组织庞大到足够的时候,它没法保证每个人的个人终端都足够安全。其次,它采用了Oday和社会工程学的方法来进行攻击,再采用透码绕过杀毒软件的检测,最后通过加密的信道,特别是一些信息窃取通过加密信道把信息传出去,因而APT防御也就成了安全之痛。我们可以看到,当前防御体系最大的几个问题:当前的防御体系是基于已知的知识和规则;基于信任;缺乏对未知威胁的感知能力,针对未知的感知能力非常薄弱;对抗点滞后,包括杀毒、HIPS,都是在攻击者获得代码权限时,可以找到你的漏洞,直接把这些软件关掉。另外,缺乏关联分析能力。