去年伊始，我们就被先进持续威胁（advanced persistent threat）这一概念给搞得摸不着头脑。极光行动（Operation Aurora）成功侵入了谷歌、Adobe系统公司和其他20多个组织。

　　同大多数APT类型的攻击一样，极光采用了零日攻击和已知未打补丁的软件漏洞结合的方式，侵入传统防御并维护长期访问的敏感数据和关键任务的系统，监测内部通讯，窃取商业机密，最终给企业造成无法修复的损失。

　　2010年，ATP的确言过其实，并不是每个攻击都被认定为APT。但是，我们正在总结2010年出现的另一个APT事件，即最近的Gawker Media攻击，所以这并非巧合。事实证明，在Gawker的IT员工意识到系统是错误的及其企业领导决定处理之前，Gnosis攻击群已经进入了Gawker的系统有几周或几个月了。

　　正如Gawker攻击证明，并不只是像谷歌这样的行业巨头，实际上越来越多的企业正成为先进的持续威胁（advanced persistent threat）的目标。几乎所有组织都有敌人，正如我们所看到的，Gawker类型利用了信息安全的疏忽和自大，这将导致灾难。

　　ATP帮助我们明确指出，传统的信息安全模式需要更新。正如我们的信息安全威胁专家Nick Lewis写道，企业必须假设在其网络存在一个只有攻击者才可以看到大漏洞，并且公司应该通过限制用户权限级别来对其进行保护，仔细考虑攻击者使用的Web浏览器，再访问对外流量监测程序，甚至排查PCI类型网络分段。还有，一旦要发生攻击，准备好进行详细的DNS日志分析或者请专家在线帮你做。

　　同样，我们不能忽视新型病毒恶意软件，包括特洛伊木马如Zeus和蠕虫病毒。Zeus已经侵入过几次，但新的日益危险的Zeus变种随时都在出现，不能被忽略。根据赛门铁克公司与零日攻击组合周旋的结果，蠕虫病毒在2010年七月出现，最初的目标是西门子SCADA系统软件，并成功感染了10万个系统。

　　为什么我们可能处于恶意软件复兴之中？有些人喜欢指责软件制造商。毕竟，或的确如此，如果软件制造商把侧重点放在使软件开发最佳实践安全上，这些恶意软件不会很高效（盈利）。

　　实际上软件总是有缺陷的。也许没有商业软件供应商比微软投资的更多在确保安全软件开发上，但微软在2010发布了比往年更多的软件补丁，攻击者不断地寻找和利用新的零日。即使供应商同微软一样勤奋并关注安全，他们也不能填补所有软件漏洞，没人能完全做到这一点。

　　相应的，企业必须假设他们的应用程序是脆弱的，并且一直都是。引用SANS 互联网风暴中心主任Marcus Sachs的话，企业不但需要实行深入防御的安全和维护多种安全保护层，还应该为那些保护层考虑多种新的不同的技术和战略，包括漏洞管理、内部侵入测试、基于主机的职责和机器的入侵检测和隔离等等。

　　很明显，这些措施并没有新的突破，但是攻击者正在做的就用到了上述提到的方法，其他的入侵手段大多也是恶意的。随着2010年的结束，新的攻击类型已经突破了今天传统的防御措施，这给我们敲响了警钟。因为疏忽，谷歌、Adobe和Gawker在安全方面都打了盹，也都因此付出了代价。在2011年，其他企业也将会犯同样的错误，请不要让你的公司成为其中之一。