在之前的文章中(APT攻击背后的秘密：攻击性质及特征分析;攻击前的"敌情"侦察;攻击时的武器与手段;攻击时的漏洞利用;攻击时的命令和控制)，我们已经了解了APT攻击的特征、"敌情"侦察、攻击的武器和手段、漏洞利用以及攻击时的命令和控制。本文我们将探讨APT攻击后期的数据渗出。在这个阶段，也是APT攻击的最后阶段，如果APT攻击活动还没有被阻止，那么数据很可能即将被泄漏出去。

数据渗出是APT攻击的最后一步，如果攻击者完成这一步，你企业将面临巨大损失。在目标数据被确定后，这些数据将被复制并通过C2通道移出网络，或者可能被复制到网络中的另一区域，然后再被移出。从这一点来看，企业应该容易发现被动攻击和有针对性攻击。

正如前面提到的，被动攻击动静很大，分层防御措施很容易发现这种攻击。另一方面，有针对性攻击完全相反。

有针对性攻击活动背后的攻击者会尽可能保持低调，所以不可能出现大规模数据转储。在有针对性攻击中，我们会看到数据伪装成正常流量通过C2通道离开网络。

在前面C2文章中，我们谈到了机会攻击通常会利用有着不良声誉的通信信道。对于每个感染的主机，攻击者会使用了相同的容易识别的通道。

这种机会攻击会将数据渗出到其他国家的数据中心的服务器，当地法律可能没有禁止这种数据使用。在这些情况下，你不要指望ISP提供帮助。所以，如果你不阻止数据离开网络，即使你发现数据的渗出，这种信息从法律上看也没多大用处。

有针对性攻击会攻击合法服务器来存储数据。在很多情况下，受感染的服务器管理员可能不知道他们正在托管不属于自己的数据，而当他们意识到有什么不对劲时，攻击者已经早已离去。

在渗出阶段，最好的防御措施就是感知。你需要知道哪些数据进出你的网络，监控出站流量和入站流量都很重要。

DLP解决方案也可以用于应对渗出阶段。如果配置得到，DLP产品可以帮助监控网络流量，并控制流量。它们能够发现未经授权的加密，被动和有针对性攻击会利用加密来隐藏通信。还能够发现异常流量模式。

另外，监控用户账户活动也可以作为防御措施，有些合法账户可能出现异常活动。

在C2阶段使用的防御措施同样可用于渗出阶段，包括根据IP地址、IPS和IDS系统(可以调整为监控所有阶段的活动)以及应用防火墙规则(控制哪些程序允许发送流量到外部)阻止访问。这些规则还可以应用到工作站或网段。

假设你捕捉到渗出过程，日志记录将成为事件响应的关键资源，因为日志能够确定发生了什么、如何发生等。通常情况下，在被动或有针对性攻击中，确定攻击者是很重要的，但实际上这是不可能的，这个问题我们主要是靠猜测而不是事实。

无论采用何种防御措施，最好的办法是在事故发生前阻止事故。这正是澳大利亚信号理事会(ASD)的主要工作，其网络不断有攻击者试图访问敏感信息。ASD采用了四种防御措施，并指定它们作为其网络的强制性要求。这四个强制性措施包括：

1. 应用程序白名单

2. 第三方软件补丁管理

3. 操作系统补丁管理

4. 权限管理(限制使用域或本地管理员权限的用户数量)

在本系列文章的开始，我们探讨了有针对性攻击和被动攻击的目的的区别，以及这些攻击者的总体目标。工具、战略和程序并不重要。你的企业更有可能成为机会攻击的受害者，而不是受民族国际资助的有针对性攻击的受害者。

应对这两种攻击的最好办法就是分层防御。感知和可视性是快速反应以及减少损失的关键。虽然持续性攻击活动最终会成功，但我们可以提高攻击者的难度，以及减少损失。关键是要权衡风险，制定符合企业需求的安全计划，不要恐惧APT。