作者简介：

夏正伟，男，武汉大学信息中心副主任，Coremail管理员社区特邀大咖

高级持续性威胁（APT）攻击可以分解为三个关键词：一是高级，即隐蔽性强，可绕过常规的防御体系；二是持续，会不断尝试，长期潜伏，直到实现其目的；三是威胁，一旦得逞可能造成极大的危害。与传统的网络攻击相比，APT攻击行为的窃取数据、破坏系统等动机更加明确，通常具有明确的目标，其可能潜伏或持续很长的时间，更为隐蔽难以发现。APT攻击通常综合使用多种攻击手段，但钓鱼邮件是APT攻击最常见的前期入侵手段之一。

2013年，美国第二大连锁超市塔吉特的空调供应商（HAVAC）4名员工收到钓鱼邮件，其中一人点开了附件中的Excel文件，成为了遭受攻击的第一跳板。后续黑客利用0day漏洞使受害主机下载恶意软件，又在公司内网传播先后感染了WEB服务器和其他业务服务器。通过权限提升最后入侵了核心服务器，并感染了POS刷卡终端。潜伏在POS系统中长达2个月，期间盗取了4千万条银行卡信息，并在黑市进行大量交易。事件造成塔吉特6100万美元额外支出，导致当年净利润下滑46%，董事长、CEO因此事辞职。

防范APT攻击需要从多方面的策略和措施着手，在事前要提前布防，随时监测恶意代码、攻击手段、攻击行为，提前做好防御方案；在事中要快速定位。迅速查找攻击源、攻击点、感染源和态势，根据威胁发展态势发现防御弱点及时补防；在事后要及时处置。分析攻击行为、攻击目标、造成危害，及时进行针对性的查杀隔离。

对钓鱼邮件发起APT攻击的前期入侵，需要防范邮件投递过程中的密码捕获、勒索病毒、特种木马等威胁，可以采取以下几个方面的应对措施：

一、加强用户安全培训

定期进行网络安全意识培训，使用户了解APT攻击、钓鱼邮件的常见特征、危害和应对方法。开展钓鱼邮件攻击的模拟演练，让用户在实际场景中提高防范意识与应对能力。提醒用户及时安装操作系统、应用程序和防病毒软件的补丁和更新，以修复已知的安全漏洞。

二、提升系统防御能力

综合采用机器学习、信誉检测、病毒检测、泛化检测等手段，提升邮件系统的防御能力。部署安全电子邮件网关，实时扫描和分析进出邮件，对其中垃圾和恶意邮件进行有效的检测和拦截。配置SPF、DKIM和DMARC等协议，检查邮件发送源的合法性、可信性。定期对邮件系统进行安全审计，加强日志监控，及时发现异常迹象。

三、升级访问控制策略

传统的网络访问控制一般采取用户名密码来控制用户的访问权限，一旦在钓鱼邮件构造的虚假登录页面输入用户名密码，攻击者即可非常容易的利用这些信息来取得其他业务的访问权限。升级网络访问的控制策略，可以有效抵御相关风险。可以采取的措施有实施严格的密码策略，限制对内部重要资源的访问权限等。尤其是重要敏感的业务系统，可以采取双因素或多因素认证的方式。

四、充分共享威胁情报

充分共享网络攻击威胁情报是提高网络安全防御能力的重要手段，要加强与相关厂商、组织的沟通协作，及时分享威胁情报和最佳实践，根据共享情报采取行动，及时修复漏洞、升级防护措施，共同应对APT攻击的威胁。