网络安全攻防形势的变化对网络安全提出了新的挑战。万物互联趋势下，企业数字化转型浪潮下，“云大物移智”等新技术的应用，让政企用户的网络安全边界逐渐模糊，高级持续性威胁风险日益增强。当高级未知威胁穿透企业当前的安全防御体系后，如何快速做出响应，锁定攻击源头，降低减小资产损失，将成为客户最关心的问题。

高级持续性威胁是什么？

江民高级威胁产品部持续追踪全球的ODAY攻击和APT事件，以攻击者的视角去分析跟踪多起威胁活动，总结了几点高级威胁的演变规律：

（1）高级威胁隐蔽性地在逐步提高。首先，威胁流量占全流量的比例不明显，甚至出现了在整体流量占比下降的趋势。再者，部分场景上，高级威胁流量的发送频度也有降低。但是，这并不表明高级威胁在减少，反而说明其隐蔽性的提升。

（2）加密的高级威胁流量比重在逐渐上升。如果高级威胁流量采用加密技术，留给分析者就只剩下元数据了，内容层面的分析带来了很大的挑战。

高级持续性威胁（Advanced Persistent Threat，APT），又叫高级长期威胁。“高级”是指计划、执行APT攻击需要比传统攻击更高的定制程度和复杂程度。攻击的发起方需要系统性地研究和利用系统漏洞，确保渗透成功。“持续性”是指从渗透开始到攻击发生的周期长，动作持续。通过对目标的持续监控，确保控制目标和达到攻击意图。“威胁”是指有特定组织参与策划的攻击，攻击目标是高价值的组织或者资产。攻击一旦得手，会造成巨大的经济损失或政治影响。

高级威胁防御的难点：

从技术层面来讲，应对高级威胁的产品和方案越来越丰富，但是能够真正实时跟踪最新的APT攻击，并对未知攻击做出精确预判的并不多。传统上认为，流量设备是检测高级威胁的重要战场，根据最新的高级威胁攻击的发展状况，传统流量设备的局限性日益突出，表现在下面几个方面：

（1）基于规则的检测方案滞后性明显。同样，情报更新也有滞后性。

（2）纯粹的流量设备算力有限，并不能实时进行大数据分析。

（3）攻击场景多元化，发起攻击的组织日益增多，抽象出统一的对抗模型的技术难度高。

高级威胁的防御策略：
 

江民高级威胁产品部在高级威胁对抗实践中持续改进，提出了自己的见解。

首先，应对未知高级威胁，归根结底还是需要提高行为分析模型的准确度；真实的情况往往是高级威胁在流量中表现为多个不同的会话，因此会话关联才能真正地把“蛛丝马迹”串联起来，才能形成攻击过程。

其次，真正地从攻击者视角进行攻击捕获，可以有效弥补传统对抗性检测方案的不足。赤豹高级威胁检测与响应系统(NDR）是江民流量安全的落地产品，能够较为完整的覆盖ATT&CK模型，可以形成攻击回溯。

再者，与江民大数据分析平台进行数据协同，通过异常行为画像等多重分析可以提升未知高级威胁的识别率。与江民终端安全检测与响应（EDR）产品的紧密联动，可以有效提升自动化处置能力，快速锁定攻击范围，降低高级威胁对用户核心数字资产的破坏。

关于江民高级威胁产品部：

江民高级威胁产品部致力于高级威胁对抗的研究，通过大量的实战经验持续丰富产品的检测模型。我们的口号是：不放过任何已知的高级威胁，不停止对未知高级威胁的跟踪和对抗。