高级长期威胁(英语:advanced persistent threat,缩写:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。
APT发起方,如政府,通常具备持久而有效地针对特定主体的能力及意图。此术语一般指网络威胁,尤其是指使用众多情报收集技术来获取敏感信息的网络间谍活动,但也适用于传统的间谍活动之类的威胁。其他攻击面包括受感染的媒介、入侵供应链、社会工程学。个人,如个人黑客,通常不被称作APT,因为即使个人有意攻击特定目标,他们也通常不具备高级和长期这两个条件。
2005年时,英国及美国的一些计算机应急响应组织发布报告,提醒人们注意某些针对性的钓鱼电子邮件会释放木马,外泄敏感信息,但“APT”一词还未被使用。普遍认为“高级长期威胁”这个术语是在2006年由美国空军创造,而格雷格·拉特雷上校一般被认为是该术语的发明人。
震网蠕虫是APT的一个例子,此蠕虫专门针对伊朗核设施的电脑硬件。此事件中,伊朗政府可能就把震网蠕虫的创造者视为一个高级长期威胁。
在计算机安全社群及媒体中,此术语常指针对政府、公司、政治活跃分子的长期而复杂的黑客攻击,也指发起这些攻击幕后团体的活动特征。日趋频繁的高级长期威胁(APT)可能会逐渐只用于指代计算机黑客入侵。据《PC World》杂志统计,从2010年到2011年,针对性的高级电脑黑客攻击增长了81%。
对于APT的一个常见误解是,APT仅仅针对西方政府。虽然针对西方政府的APT事件在西方广为流传,但许多国家的黑客也会通过网络空间收集个人或一群个人的情报。美国网战司令部负责协调美国军方对网络攻击作出的响应。
有说法称一些APT团体直属于或受雇于民族国家。掌握大量可辨识的个人身份信息的行业极有可能遭受高级长期威胁,如:
APT并无准确定义,但总体可归纳如下:
Bodmer、Kilger、Carpenter和Jones的研究将APT的标准定义如下:
趋势科技定义 APT 基本要素与特点如下:
APT的幕后黑手会对组织团体的金融财产、知识产权及名誉造成持续变化的威胁,其过程如下:
2013年,美国网络安全公司麦迪安(Mandiant)发布了关于2004至2013年间疑似来源于中国的APT攻击的研究结果,其中的生命周期与上述相似:
麦迪安所分析的这起入侵事件中,攻击者对受害者的网络保有控制权的平均时间为一年,最长时间为五年。 此次渗透攻击据称是位于上海的中国人民解放军61398部队所为。中国官方否认参与了这些攻击。
恶意软件的变种数以千万计,因此要保护组织团体免于APT攻击极为困难。虽然APT活动十分隐蔽,但与APT相关的命令与控制网络流量却可以在网络层由精密的方法检测。深入的日志分析和比对有助于检测APT活动。尽管要从正常流量中分离出异常流量有一定难度,但这一工作可以借助完善的日志分析工具来完成,以便安全专家调查异常流量。
