转变思路，巧妙发现APT！

俗话说“不怕贼偷，就怕贼惦记”，再慎密、再安全的信息安全防御措施，也总有其出现破绽的地方。而APT攻击恰好能抓住这一破绽（如管理员的一次误操作、内部人员邮件操作失误、新的0day爆出等）并通过长时间的踩点发起猛烈的一击。

因为往往防护的面会很多，难以面面俱到，防御方处于劣势。APT团队分工明细，攻击面广，且攻击者只需要攻破一点即可成功。

针对APT如何及时快速的发现呢？ 我们先从APT攻击的行为进行分析：

APT攻击的最终目标是获取敏感数据，因此往往首先攻破一个内网桥头堡，然后根据据点发展壮大，最终拿到敏感数据。

由于威胁已经身处内网，我们很难发现内部的网络异常行为，其违规行为隐藏在大量的正常网络操作行为中，看不见这些异常行为。

通过纵深防御思路可以有效抑制APT攻击行为，实现从网络层、系统层、应用层、数据层、用户层、业务层进行层层防御，共同组成整个防御体系。可是这仅仅是拖延时间，增加内部横向渗透的难度而已，APT攻击行为长时间潜伏渗透内网，不断的攻占一个个据点，跟你玩躲猫猫，你没法溯源，拿它一点办法都没有。

所以，发现APT攻击行为的关键在于“感知”。这时候有人有话说了：“发现APT谈何容易？“

转变一下思路，我们可以从一个小小的角度去感知APT攻击：

“当不法份子进入企业内部后一切都未知，处在一片黑暗中，迫切需要眼睛去观察周围。”

横向移动的第一步就是做内网遍历，发现资产、查找可利用的漏洞进一步扩大战果。这个是内网渗透的必经步骤，就在这时候拿出我们的秘密武器出场了！

“蜜罐”！

蜜罐是一个安全资源，它的价值在于被探测、攻击和损害。设计蜜罐的初衷就是让黑客入侵，借此收集证据，同时隐藏真实的服务器地址，实现发现攻击、产生警告、强大的记录能力、欺骗、协助调查。

可是我们需要转变一下思路，如果我把蜜罐放在一个特别的地方呢？如图，我们把蜜罐悄悄放置在内部服务器区，不告诉任何人。那么没有人会访问蜜罐系统，也就不会有任何日志产生。

当不法份子控制了内部肉鸡，进行“横向移动”步骤发动内网资产扫描探测时，必然对服务器网段进行批量扫描，肯定会访问到蜜罐系统并产生相关的日志。

这时候蜜罐记录的日志信息高可信，可立即判断出内部肉鸡的IP，从而触发应急告警，根据攻击源IP逮到可疑肉鸡，成功阻断威胁的进一步扩大。

最后，如何利用蜜罐产生的日志实现自动化发现并触发告警呢，基于大数据挖掘和职能关联分析的绿盟企业安全平台就发挥作用了。

绿盟企业安全平台ESP是基于专业的安全分析模型和大数据管理工具，可准确、高效地感知整个网络的安全状态以及变化趋势，从而对外部的攻击与危害行为可以及时的发现，并采取相应的响应措施，保障信息系统安全。

绿盟企业安全平台ESP从外部威胁及系统自身脆弱性两个维度进行全面态势感知分析，站在威胁视角，以网络入侵、异常流量和僵木蠕为切入点，做到知彼；站在脆弱性视角，以系统漏洞和网站安全为切入点，做到知己，提供全方位、全天候的网络安全态势感知能力。