惯犯APT袭来 云厂商需构建多维防御体系

网络厂商对APT并不陌生，而这种攻击手段已成为云服务商的心头之患，其原因在于云计算让数据资源趋于集中化，使得黑客的定向攻击可以获得更高的投入产出比。网络之于云计算的重要性不言而喻，风险自然也就转嫁到云上了。

利用APT，黑客能够发起长期持续性的攻击，寻找漏洞编写“专属代码”，针对特定应用环境和防御措施开发所谓的特种木马，这些潜在威胁通常是不容易察觉的。在以往的APT攻击中，攻击者的指向性病毒并不会造成大面积中招，而是埋伏在系统内部“慢慢窃取信息”。

数年前，某IT巨头承包了一家银行的IT系统建设，后因该公司的工程人员无意中点击了一条内容链接，导致银行IT系统感染了黑客放入的病毒，后者在接下来的两个月内破坏了全部数据副本，最终让银行停牌歇业，造成了巨额代价。

传统的防火墙等安全和防护系统多是针对网络和主机的边界进行检测，对未知威胁和已有漏洞缺乏足够深入的解析能力，而在云计算环境中是没有拓扑边界的，一个基础设施会承载多个业务系统，虚拟化之后的某一个业务层的虚拟机有一定概率不在同一个安全区域之下，虚拟彼此之间的数据交换也不被外部网络可见。

事实上在云计算普及之后，数据中心、云服务器等较客户端的安全风险随之增加，但有意思的是，黑客有时候并不会选择直接对数据中心发起攻击，而是会从层面入侵不断提升系统权限，找到最薄弱的那一环。举个例子，高级木马除了会自动匹配主机环境，还可以自行辨别虚拟机以逃脱检测拦截。

对于云服务商来说，一方面会利用大数据分析的方式进行检测，另一方面也会通过白名单或文件隔离等方式加强服务器的安全性。在网络层，要更加注重防火墙的重要性，对网络用户进行口令验证；在主机层，注意更换核心服务器的用户认证，定期检查文件目录的访问权限；在数据层，使用数字签名对文件收发端进行双向的信息验证。

可以说，对于APT的防御仅靠单一方案无法应对其在云计算时代的威胁，动态检测往往会用于攻击过程中的异常响应，而受攻击前后仍需要流量监视和回滚技术去发现潜在的威胁。对于安全厂商而言，异常流量的检测至关重要，原因是黑客总要经由网络发起攻击，随之而来的数据波动就会引起安全人员的注意，这也是不少企业在私有云环境中选择的方案之一。

站在企业客户的角度，无论是直接攻击还是驱动入侵，亦或是鱼叉式网络钓鱼，企业的防护手段一定是多维的。其中，既要有入侵防御、网络隔离、用户名单、云端沙箱、应用与终端控制等功能，还要在日常维护过程中有及时的补丁更新和权限控制。只有这样，才能有效减弱在APT从网络向云蔓延过程中的危害。