“在探测到的所有恶意软件中，有82%只会保持一个小时的活跃性， 70%只会出现一次。这是恶意软件作者故意经常调整软件代码，以便 绕过传统杀毒软件的扫描。”
安全供应商FireEye 2014.5
APT攻击的生命周期
The Lifecycle of Targeted Attack
APT攻击的6个阶段
意想不到的APT影响
意想不到的 企业战略影响
意想不到的 成本影响
CCXXOO
意想不到的 连带风险
意想不到的 职业生涯影响
同业看法
“杀毒软件已死！”“传统的杀毒软件只能探测到45%的攻击”
赛门铁克信息安全高级副总裁布莱恩·代伊(Brian Dye) 2014.5
“基于签名的杀毒软件功能更像是在捉鬼，而不是探测和预防威胁。”
这个Excel档案其实已经包含了一个当时还没有发现、也还没 有被修补的Adobe Flash漏洞
该员工计算机被植入后门后，被远程遥控在内部做探测取得更 高管理者权限
入侵开发用服务器，加密并压缩机密数据用FTP传到远程主 机，清除入侵痕迹
案例二：320韩国攻击事件
• 时间：
– 2013年3月20日下午2时
4. 横向移动 攻击者立足之后，会渗透更多的内部设备，收集凭证、提升权限级别， 实现持久控制
5.资产/资料发掘 攻击者使用一些技术和工具手段识别有价值的服务器及存放在这些服务 器上的重要信息资产
6.资料窃取 在收集了敏感信息之后，攻击者将把数据归集起来进行压缩和加密，再 通过外部暂存服务器将数据外传出去
删除所 有文件
Windows终端
破坏 MBR
取得终端上留存的服务器 登入信息，进行远程攻击
破坏 MBR
安博士（Ahnlab） 更新服务器
攻击者利用合法更新机制 将破坏性恶意程序快速部 署到终端
删除所 有文件
案例三：美国Target客户信用卡信息外泄事件
110,000,000
1.1 亿信用卡与会员数据泄漏
• 范围：
– 韩国多家媒体与金融机构约48,700台计算机与服务器无法使 用
媒体
银行
韩国广播公司（KBS） 韩国文化广播公司（MBC）
韩联社新闻台（YTN）
新韩银行 农协银行 济州银行
• 影响：
– 业务运行中断
• 银行：ATM、网银、营业厅交易停摆 • 媒体：媒体向外播送的内容无法更新，对外网站无法连接
响应
阻止
通过数据发掘、加 密、防泄漏、应用 控制、APT追踪等 技术，防止信息资 产被非法访问或外 泄
监控
确认威胁是否发生， 分析威胁，判断攻击 和攻击者的本质，回 溯攻击场景，评估威 胁的影响和范围
分析 Midsize & 侦测
Enterprise Business
检测攻击者所使用 的，传统防御无法 识别的恶意对象、 通讯及行为等威胁
企业信息安全APT治理战略
Custom Defense 2.0
Confidential | Copyright 2013 Trend Micro Inc.
不断演化的威胁
The Evolving Threats
2
信息安全 不堪回首
80,000家公司被黑 2,122 家公司被迫公开承认 全球500强公司大面积沦陷 涉及全球60多个国家
ITR，贯穿整个治理周期的始终
• 目的：
– 使用统一管理平台，汇总威胁信息，共享威胁情报，制定治理策略，展示治理成果
• 组件：
– Trend Micro Control Manager
• 特点：
– 基于本地及云端的混合管理 – 全面的威胁情报共享 – 集中的用户可视化 – 实时的关注点分析 – 灵活的策略管理 – 自动的更新机制 – 统一的日志和报告
1. 情报收集 使用公共信息资源（网络社交工具，如微信，微博，朋友圈等）收集并 研究目标对象的相关信息，准备实施定制化攻击
2. 单点突破 利用社交工程学等手段（Email/IM或隐藏式下载等）将恶意代码推送 给目标个体，创建后门，实施单点攻击突破，准备进一步网络渗透
3. 命令与控制 （C&C 通信） 被入侵的计算机通过部署在互联网的C&C服务器与攻击者保持通讯，获 取攻击者的指令及更多攻击工具，用于后续阶段的使用
1,000,000,000
治理成本超过 10 亿美金，包含银行重新 发卡费用及更换所有 POS 终端
(46)%
2013 年第四季获利下降 46%
9月
11/15
以社交工程钓 鱼窃取凭据
部署恶意软件 收集数据
11/27
数据泄露
12/12
通报
12/15
内部治理
12/19
公开道歉
消费者
合作伙伴
攻击者
FT P
往事历历在目 触目惊心
2015.2 Anthem 医疗保险用户资料外泄
2015.1 加密勒索软件
2014.11 索尼影业 遭APT攻击
2014.9 家得宝 信用卡信息被窃
2014.9 iCloud 好莱坞女性艳照门
2013.9 Target 信用卡信息被窃
2013.3 韩国银行及媒体 遭APT攻击
– 受感染机器上的数据无法回复
8
320韩国攻击事件：伪装成银行账单邮件
恶意附件，文件名为 “信用卡交易记录”
伪装的三月份信用卡账单通知
320韩国攻击事件过程
Unix/Linux服务器区
受害企业
攻击者
带有恶意附件的 社交工程钓鱼邮件
植入木马 程序
下载监控性 恶意C&C站点 恶意程序
在内部控制更多机器
趋势科技“演化的APT治理战略”
TrendMicro “Custom Defense 2.0”
20
“螺旋迭代”的威胁响应周期
The Interconnected Threat Response (ITR) Cycle
21
“螺旋迭代”的威胁响应周期（一个中心四个过程）
制定治理策略，执 行补救措施，清除 威胁、实施联动保 护，适应防护变化 的要求
2011.3 RSA SecurID 被窃
案例一:全球最大的动态密码锁公司RSA遭受APT 攻击
RSA攻击事件：由一封以假乱真的邮件开始
Adobe Flash 零日漏洞 (CEVxEce2l文01档1-0609)
RSA 遭受APT攻击的来龙去脉
根据Uni Rivner的调查，这起造成RSA史上最重大损害的源 头，是2封锁定RSA公司内两小群员工的网络钓鱼信件。 标题写着「2011年招募计划」，也夹带一个附加文档