1.2.2 高級持續(xù)性威脅問題

高級持續(xù)性威脅（Advance Persistent Threat, APT），最初用于描述旨在實現(xiàn)戰(zhàn)略優(yōu)勢的民族國家網(wǎng)絡(luò)攻擊。如今，這個詞已經(jīng)擴(kuò)展到各種各樣的針對企業(yè)以獲取金錢利益的攻擊。網(wǎng)絡(luò)犯罪分子提高了他們攻擊的復(fù)雜程度，攻擊通常融合多樣的攻擊技術(shù)手段，而且APT攻擊往往技術(shù)專業(yè)、手段隱蔽。近十年來不斷爆出重大APT攻擊事件，讓應(yīng)對APT攻擊成為亟須解決的熱點(diǎn)問題。

在2019年360威脅情報中心發(fā)布的《全球高級持續(xù)性威脅（APT）2018年報告》中，APT已經(jīng)成為各個行業(yè)必須面對的問題，已成為犯罪團(tuán)伙危害民用系統(tǒng)、實施犯罪的重要手段。報告顯示，對醫(yī)療行業(yè)的威脅與傳媒、電信行業(yè)處于同一水平，高于工業(yè)及電子商務(wù)行業(yè)。

進(jìn)入移動互聯(lián)時代，APT已成為網(wǎng)絡(luò)攻擊的主要手段之一。APT難以應(yīng)對主要表現(xiàn)在其具有隱匿性和持續(xù)性。APT攻擊具有良好的隱匿性。這使被攻擊系統(tǒng)的用戶在長時間內(nèi)無法察覺其存在（一年以上或者更久）。在隱匿期，攻擊者可不間斷地從被攻擊的系統(tǒng)中獲取信息。從其根本目的來看，攻擊者不以短期獲取利益為動機(jī)，而是希望通過侵入系統(tǒng)長期地獲取信息，直至完成攻擊后消除痕跡撤離。持續(xù)性是APT攻擊的另一主要特征，這主要表現(xiàn)在攻擊者在攻擊期間不斷嘗試不同的攻擊方法和手段，在得以掌控網(wǎng)絡(luò)內(nèi)部資源后長期蟄伏，不斷更新攻擊方式來避免被安全防御系統(tǒng)檢測到。在信息化高度發(fā)展的遠(yuǎn)程醫(yī)療系統(tǒng)中，針對日益頻發(fā)的APT攻擊，建立完善的信息系統(tǒng)，使其具有較高的可靠性和安全性已成為重點(diǎn)關(guān)注的問題。

APT攻擊的危害還表現(xiàn)在其對傳統(tǒng)安全防御檢測手段的免疫上。當(dāng)APT攻擊發(fā)生或者完成后，受害者可能完全不知道，或者知道遭受攻擊但無法明確并采取措施。造成這一狀況的原因在于傳統(tǒng)安防技術(shù)基于威脅特征的檢測機(jī)制，其有效性是建立在已知威脅并分析獲取其特征的基礎(chǔ)上的，面對的是已知的威脅類型，而APT攻擊通常是融合多種攻擊手段構(gòu)建而成的未知威脅。在APT攻擊鏈中，攻擊者先收集攻擊目標(biāo)的環(huán)境及其防御手段的信息，通過分析收集到的情報進(jìn)行有針對性的攻擊；通過利用漏洞進(jìn)行變體威脅攻擊，迷惑傳統(tǒng)的防御系統(tǒng)（如IDS、IPS）檢測，利用加密手段避開信息審計檢查等。

與一般的攻擊鏈相同，APT攻擊鏈同樣包含前期對攻擊目標(biāo)的偵察、信息收集及分析、攻擊目標(biāo)缺陷鎖定，進(jìn)而對攻擊目標(biāo)進(jìn)行滲透、收集數(shù)據(jù)，并持續(xù)攻擊到目標(biāo)達(dá)成，消除痕跡退出。在實際攻擊中，攻擊鏈中的各環(huán)節(jié)間并沒有嚴(yán)格的界限劃分，可隨時進(jìn)行回溯，在理論上將其劃分為攻擊鏈的各個環(huán)節(jié)只是為了便于闡述及分析。對APT來說，各個攻擊鏈環(huán)節(jié)都可能維持較長時間并反復(fù)進(jìn)行多次。其執(zhí)行過程與攻擊目標(biāo)的價值相關(guān)，并取決于攻擊者的決策。

為遠(yuǎn)程醫(yī)療提供網(wǎng)絡(luò)基礎(chǔ)服務(wù)的遠(yuǎn)程醫(yī)療網(wǎng)絡(luò)的一個重要問題就是需要有效地防御復(fù)雜的網(wǎng)絡(luò)安全攻擊。APT攻擊就是其中的一種，其主要特征為多層次、多步驟、長時間持續(xù)攻擊。同樣，APT攻擊也使用一個攻擊鏈模型來進(jìn)行攻擊，以達(dá)到攻擊目標(biāo)的目的。傳統(tǒng)的安全防御方法如防火墻、入侵檢測系統(tǒng)或者入侵保護(hù)系統(tǒng)不能有效防御APT攻擊并避免它們帶來的危害?，F(xiàn)階段，欺騙技術(shù)被用于防御網(wǎng)絡(luò)攻擊行動。移動目標(biāo)防御技術(shù)是其中最有希望的一種技術(shù)。移動目標(biāo)防御技術(shù)能夠應(yīng)用于攻擊鏈的各階段，在各個抽象層級（應(yīng)用、主機(jī)、網(wǎng)絡(luò)）動態(tài)地瓦解正在進(jìn)行或已成功滲透到系統(tǒng)的APT攻擊。

針對APT攻擊難以通過傳統(tǒng)手段進(jìn)行有效檢測的特點(diǎn)，近年來一種試圖改變網(wǎng)絡(luò)攻防雙方在網(wǎng)絡(luò)防御中不對等地位的主動防御技術(shù)——移動目標(biāo)防御得到廣泛關(guān)注與研究。移動目標(biāo)防御技術(shù)對未知的或者進(jìn)行中的網(wǎng)絡(luò)攻擊均可以起到有效的抑制作用。通過移動目標(biāo)防御技術(shù)可以實現(xiàn)對APT攻擊鏈中多個階段（偵察、滲透、破壞等）造成的危害進(jìn)行有效抵御與瓦解，從而對網(wǎng)絡(luò)安全形成有效的防御。