威脅形勢已不可逆轉地改變。安全專業人員的主要敵人不再是盯著顯示器尋找容易攻擊的社會青少年，而是試圖挖掘敏感信息的熟練技術人員。

威脅形勢的轉變并不是突然發生的。在2006年，針對TJX公司的高度針對性攻擊導致千百萬人的個人信息泄露。在2009年，谷歌、Juniper和 Adobe等公司遭受了極光行動(Operation Aurora)攻擊。接下來的一年，伊朗政府聲稱美國和以色列對伊朗核計劃發起了Stuxnet蠕蟲攻擊。次年春天，RSA承認其遭受“極其復雜的網絡攻擊”。

定義和理解有針對性APT攻擊

這些攻擊是現在安全專業人員面臨的典型攻擊。高級持續威脅APT是一個“模糊”而富有爭議的術語，它指的是一種攻擊風格，而不是任何特定的攻擊技術。有針對性的APT攻擊是指專業黑客使用高級攻擊技術發起的一對一的攻擊。以前的腳本小子(script kiddies)首先會選擇一個漏洞，然后掃描互聯網尋找容易攻擊的系統，而APT攻擊者首先會選定一個目標，通常是政府機構、金融機構、企業競爭對手或者其他高價值資產，然后再選擇進入的方法。盡管許多信息安全產業觀察家因為這樣或那樣的原因不喜歡高級持續威脅這一說法，但高級持續威脅已經成為定義這種攻擊類型最常見的說法。

應對APT需要安全專業人員展開一種新的思維。信息安全專業人員必須假定攻擊者已經使用高級攻擊成功地滲透進入了企業網絡。他們將會利用零日攻擊、社會工程學、釣魚攻擊和其他技術來想盡辦法進入我們的網絡。一旦他們建立了一個虛擬操作基地，他們就能夠升級他們的特權，擴大他們的控制范圍，直到他們找到目標，即使這需要花上數周或者幾個月時間。

加強網絡安全 抵御有針對性APT攻擊

所幸的是，我們已經有一個成熟的戰略來幫助企業抵御APT，這個戰略強調了很多常見的網絡安全最佳做法。這個通過部署分層控制來實現深度防御網絡安全的方法已經經過驗證，它是幫助企業抵御APT的最佳方法。

首先，整理網絡中已經存在的控制，確保這些控制是有效的且受到良好管理的。大多數企業已經部署了防火墻、入侵檢測和預防系統(IDS/IPS)、反惡意軟件包和其他控制。它們會受到定期審計嗎?它們有最新的簽名嗎?部署一致嗎?在考慮增加額外的防御層前，檢查這些基礎信息。

其次，檢查現有的用戶教育計劃。很多APT依賴于社會工程學或者利用用戶不良的安全習慣來攻擊。例如，專家推論，Stuxnet蠕蟲病毒通過一個授權用戶的閃存驅動器來侵入伊朗核設施邊界的控制。確保最終用戶明白其在企業安全保護中的角色。

使用APT威脅作為催化劑，這是評估現有安全控制和增加必要的額外安全保護措施的好時機。在采取這些補救措施后，考慮向網絡增加額外防御層。有三個特定控制領域值得考慮：

1.如果沒有部署安全事故和事件管理(SIEM)系統，可以利用這次計劃進行部署。SIEM是對付APT的有效工具，因為這個系統可以從不同來源收集和關聯安全數據。它們可以幫你“海里撈針”，找出APT攻擊滲透進入網絡的蹤跡。

2.數據丟失防護系統是一個很好的最后防線，它能夠檢測和阻止出有人有意或無意地將敏感信息從網絡中移除。

3.最后，內容過濾可以幫助進一步防止釣魚攻擊和其他web與電子郵件威脅。雖然用戶教育是防止社會工程學的最有效的方式，但內容過濾可以在用戶泄露其賬戶信息前阻止用戶。

APT確實給信息安全帶來了新的威脅，但是這種攻擊形式并沒有改變我們保護自身所需要采取的安全措施。我們只需要利用安全專業人員多年來追捧的深層防御和分層控制的方法，就能夠有效防止高級持續威脅。