Persistance
Un attaquant passe souvent beaucoup de temps à rechercher et à collecter des informations sur les environnements d'exploitation réseau du système cible ainsi qu'à explorer la vulnérabilité du système de confiance et des programmes d'application de l'attaquant. L'attaquant peut ne pas percer le système de défense de la cible dans un court laps de temps, mais il ou elle peut découvrir une vulnérabilité dans la cible ou trouver la possibilité d'attaquer la cible au fil du temps, en particulier lorsque les appareils sont mis à niveau ou des applications sont mis à jour dans le système de défense.
Terminal
L'attaquant n'attaque pas directement la cible. Au lieu de cela, l'attaquant compromet d'abord un périphérique terminal (tel qu'un smartphone ou un PAD) lié au système cible pour voler le compte d'utilisateur et le mot de passe. C'est-à-dire que le dispositif terminal sert de station de transfert pour l'attaque sur le système cible.
Pertinence
Sur la base des informations collectées sur les logiciels fréquemment utilisés, les politiques et produits de défense et le déploiement du réseau interne du système cible, l'attaquant établit un environnement spécifique pour découvrir la vulnérabilité et tester s'il existe des méthodes pour contourner les inspections.
Inconnue
Les produits de sécurité traditionnels se défendent contre les attaques basées uniquement sur des virus et des vulnérabilités connus. Les attaquants APT peuvent exploiter la vulnérabilité 0-day pour lancer des attaques, qui peuvent facilement traverser le système de défense.
Dissimulation
Lors de l'accès à un actif important, l'attaquant utilise un client contrôlé pour voler des informations via un canal de données crypté. Dans ce cas, le système d'audit et le système de détection d'anomalies ne peuvent pas détecter l'attaque.
Avec les fonctionnalités d'attaque précédentes, les attaques APT sont plus avancées, cachées et dévastatrices. Grâce à ces fonctionnalités, elles sont devenues une menace majeure pour la sécurité du réseau de nos jours.
Comment le FW fonctionne-t-il avec le bac à sable?

La procédure de défense contre les attaques APT est la suivante:
An external attacker initiates an APT attack towards the enterprise network. Attack traffic matching the APT defense profile is restored to a file.
The FW sends the restored file to the sandbox for threat analysis.
The FW periodically obtains the file detection result from the sandbox.
If the sandbox detects malicious traffic, it FW updates the cached malicious file and malicious URL lists based on the detection result. If subsequent traffic matches the malicious file or malicious URL list, the block or alert action is performed to protect the enterprise intranet from attacks.