目前，APT（高级持续性威胁）攻击已经对金融系统、交通、能源，甚至地缘政治造成巨大的影响。APT攻击广泛采用0day漏洞、高级定制木马、专用攻击设备进行攻击和信息获取，具有难发现、难维护、难分析、难追踪的特点。传统的网络安全防护手段已经难以应对APT攻击。

针对金融行业，在过去的2015-2016年堪称全球银行的灾害年：

2016上半年发生了以孟加央行为代表的一系列发展中国家的央行和大型国有银行被盗事件，受害者损失高达数千万美元。

2016下半年发生了以台湾第一银行ATM机吐钞事件为代表的一系列ATM机攻击事件。

2015年针对金融高管的勒索邮件开始大规模传播造成严重损失。

2015年SWIFT系统漏洞导致银行造成过亿美元损失；

针对这些层出不穷的攻击，中国银监会于2016年发【2016】107号文：

【针对安全的部分，文件要求】政策性银行、大型银行、股份制银行、邮储银行还要针对高级持续性威胁、精准式网络攻击进  行安全评估，对威胁和攻击进行分类场景设定，有针对性的排查系统漏洞、分析脆弱性,形成应对此类攻击的防护措施专项评估报告。

工作内容分解如下：

通过银监会发【2016】107号文，我们看到金融行业在应对高级持续性威胁攻击方面已经提出了监管上的要求，银行必须要有相应的技术手段及可行的方案应对来自APT的攻击。

金融行业企业在实施APT攻击检测之前，有必要了解一下APT攻击的原理，在这里我们主要针对水坑攻击和钓鱼邮件两种攻击方式（据权威机构公布在中国这两种APT攻击方式占全部APT攻击的90%左右）进行说明：

水坑攻击：当访问者访问互联网上的链接时，有可能会访问到水坑网站，如伪造的某银行的官网，该网站会提示浏览器端的FLASH组件需要更新，此时访问者由于对该银行的信任而下载伪装的升级包，升级包下载完成之后，会像正常的升级包一样在客户端进行安装，而该文件在后台则会释放恶意代码，恶意代码会外联恶意网站并取得联系，外部的APT攻击组织接收到信息后，则会遥控下载更多的恶意组件，并对企业内部网络进行攻击、信息收集，进而造成企业重大损失。

钓鱼邮件 ：攻击者采用伪装某银行的邮件服务器，向银行的内部员工发送《**银行领导层重大人事任命》之类的邮年，这类邮件通常会是关系银行员工切身利益的重要话题，员工急于了解真实情况，而忽略了邮件服务器的验证，打开附件，附件会显示伪装的正常文件给员工阅读，而该文件在后台则会释放恶意代码，恶意代码会外联恶意网站并取得联系，外部的APT攻击组织接收到信息后，则会遥控下载更多的恶意组件，并对企业内部网络进行攻击、信息收集，进而造成企业重大损失。

通过对APT攻击过程的了解，我们可以看到其攻击的过程主要依赖网络、邮件和终端三个渠道来完成，因此主要防御的重点也落在这三个部分：

网络 ：主要监控入口的HTTP/HTTPS流量，获取协议中的文件附件，对其进行静态威胁情报检测及动态沙箱攻击检测，以有效的检测威胁；

邮件 ：对进入邮件服务器的邮件进行附件提取，获取邮件中的文件附件，对其进行静态威胁情报检测及动态沙箱攻击检测，以有效的检测威胁；针对威胁邮件可以依据威胁等级设置阻断策略，完成邮件阻断；

终端 ：对外设传入电脑终端的文件执行检测，并对不同渠道发现的威胁进行威胁查找、威胁隔离及威胁处理；

通过三个渠道的有效结合，形成威胁发现、威胁记录、威胁阻断及处理的闭环处理过程。

针对APT攻击，明朝万达同中科院软件所一起合作研发共同推出了“高级持续性威胁检测系统”，该产品具有如下优势：

产品全面覆盖网络、邮件、终端三个不同的渠道，全面检测APT攻击，并进行威胁协同处理；

网络侧，可以解析下行HTTP/HTTPS（需要流量解密设备协助处理）协议；

针对邮件侧支持下行SMTP、IMAP、POP3协议；

针对终端侧结合明朝万达自有的可信网络安全管理平台软件完成同APT管理控制中心的联动，有效发现和处理APT威胁；

APT动态检测引擎拥有全球最高的威胁检出率，目前已经在五大行之一的国有银行以及国家其它涉密组织进行验证，在纯动态检测的情况下，检出率最高；

完成同多家威胁情报厂商集成，支持威胁情报的静态检测，大大降低APT动态检测的资源及时间成本，提高系统的响应效率及检测准确率；

该产品也提供了很好的兼容性，提供接口可以完成同企业现有安全设备及应用系统的集成，为其提供全企业统一的APT威胁检测能力，同时也可以将检测的报告和重大的安全事件提供给企业的SIEM、SOC之类的系统进行统一安全态势感知及威胁处理。