DARPA积极侦测和防范先进持续性威胁(APT)

先进持续性威胁（APT）一直是美国防部最大的网络安全问题之一。先进持续性威胁是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标发起攻击。其通常是出于商业或政治动机，针对特定组织或国家，窃取数据并要求在长时间内保持高度的隐蔽性。

为了进一步防范和侦测APT攻击，DARPA与2016年秋季授予数学研究专家伽罗瓦和Guardtime联邦安全公司一份价值180万美元的合同，推进形式验证工具和基于区块链的完整性监控系统，以侦测APT攻击并持续确保系统安全。

美国防部也正与国土安全部和情报界合作，保护美国政府网络免受APT攻击。美官员表示，无密钥完整性监控系统和威胁清除技术是解决方案之一。

先进持续性威胁（APT）的危害：

像大多数网络威胁一样，先进持续性威胁（APT）攻击往往分为不同的级别。前国家安全局（NSA）训练副主任塞德里克·礼顿上校表示，APT可以用来收集大量的敏感信息。一旦这些信息被适当地分析和关联，对手就可以对关键网络发动攻击，或者秘密地向敌人提供军事情报。先进持续性威胁的危害相当于一千个间谍人员，并且效率更高。

美国网络司令部发言人陆军上校丹尼尔·金表示，当前先进持续性威胁的发生频率越来越高，国防部担心这可能破坏国防部网络的运行和军事作战。陆军通信电子研究、开发和工程中心（CERDEC）的情报与信息战理事会首席科学家乔治·巴图里指出，大多数APT攻击是由国家支持的黑客发动的，用于窃取商业机会和国家机密，尤其是国家战略和政治优势。

对策：

1、构建深度架构防御网络

APT攻击很难被侦测和应对,一旦获得对网络的访问，其活动就成为识别攻击源的关键。国防部信息网络联合部队总部（JFHQ-DODIN）是美国网络司令部下设的作战总部，负责确保、运行和保卫美国防部网络（DODIN）。金表示，该部门具有一个由安全设备和传感器组成的深度架构防御网络，以侦测和阻止网络威胁。此外，国防部的网络安全服务提供商和网络保护部队一直在监测网络、发现和响应威胁。

2、侦测先进持续性威胁（APT）

国防部通过利用情报、反间谍和其他所需的军事能力，响应DODIN中的未授权活动或警报/威胁信息。

金表示，保卫网络的两个主要行动：内部防御措施和响应行动。内部防御措施是在DODIN内进行的网络空间行动，其中包括积极寻找先进的内部威胁以及对这些威胁进行内部回应。

尽管国防部做出了多项努力，但APT攻击往往未能被发现。伽罗瓦密码学和多方计算研究主管大卫·阿彻，对国防部的侦测和根除APT的能力持怀疑态度。汉密尔顿表示，该公司正专注于APT侦测的基础研究，其产品旨在提高数字架构的完整性。与当前的防火墙等安全技术的设想不一样，该公司的产品在设计之初就假想黑客已经侵入网络，必须设法发现这些入侵行为。

3、建立多重机制以清除先进持续性威胁（APT）

陆军通信与电子研究、开发和工程中心（CERDEC）的空间与地面通信理事会的高级研究科学家巴拉特·多西表示，随着APT攻击的技术越来越复杂，仅靠侦测方法不能解决问题，必须建立一个由多个协同运行的传感器和检测机制以快速检测威胁。该机制必须对自身网络及其脆弱性、存储信息对于各种对手的价值以及渗透、拒绝服务或数据泄漏的后果等要素有深入了解。

一个成功的APT检测机制必须能够融合来自防火墙、基于主机的入侵检测机制、网络业务分析系统、沙箱、文件完整性监视、内核完整性监视和其他工具的信息。

来源：美国《C4ISR与网络》/图片来自互联网