不久前，美國某主要電子元器件分銷商的IT安全分析師發(fā)現了一些特殊的網絡活動。該分析師評估了Netflow網絡流量數據，并確定某個人或者某個物體當時正在制定對大量IP地址的定期掃描。這名不愿意透露姓名的分析師表示：“我們遭到攻擊了。在我們的一個倉庫中，發(fā)現很多系統被感染，甚至我們的管理網絡也被感染了。”

攻擊者在該公司的網絡中至少“潛伏”了6個星期，很多端點和服務器都受到感染。雖然該分析師表示他相信現在惡意軟件已經被清除，并且攻擊者也已經撤離，但他并不清楚攻擊是如何發(fā)生的。“讓人頭疼的是，我們不知道這種攻擊的初始時間，”他表示，“他們可能仍然潛伏在我們網絡中的某個地方。”

這種攻擊同時具有常見的和不常見的特性。常見之處在于，感染了這么久都未被發(fā)現。不常見之處在于，該公司安全團隊自己發(fā)現了這個攻擊。根據2012年Verizon數據泄露調查報告（DBIR）顯示，很多數據泄露在很長時間內都未被發(fā)現，90%的感染企業(yè)通過第三方發(fā)現泄漏事故，而不是自己發(fā)現。

來到自定義惡意軟件攻擊的世界，在這個世界，攻擊者（在必要時）使用通用且廣泛使用的攻擊代碼作為基石，制作自定義惡意軟件來偷偷潛入企業(yè)內部。“這難以量化，”IANS研究高級副總裁兼首席技術官David Shackleford表示，“但現在越來越多的攻擊使用自定義惡意軟件。”

根據很多未經實證研究的證據顯示，幾乎每天都會涌現出一個新的有針對性的零日攻擊。此外，CounterTack公司在8月份對有針對性攻擊的調查顯示，在100名接收調查的信息安全管理人員中，超過一半的人表示他們的企業(yè)在過去12個月中成為攻擊目標。

SANS研究所資深教授Lenny Zeltser表示，也許，自定義惡意軟件攻擊（或者說一般攻擊）如此成功的原因在于我們將全部焦點放在了惡意軟件上。“我們經常專注于攻擊的惡意軟件組件，也許是因為惡意軟件被發(fā)現后，它是我們可以看到和進行分析的有形的東西，”Zeltser表示，“我們應該從更大的范圍來考慮攻擊事件：自定義惡意軟件通常只是針對性攻擊的一部分，攻擊者試圖通過針對性攻擊來實現一個目標。”

Zeltser表示，最佳防御方法在于，企業(yè)應該檢查攻擊的生命周期的所有方面，避免圍著惡意軟件打轉。這種重新定位包括側重檢測能力和事件響應能力。這種方法看似很簡單，但這并不意味著它很容易執(zhí)行。為了打擊自定義惡意軟件，企業(yè)不僅需要重新考慮他們用于保護其系統的技術，也要重新思考已經部署的程序。

在接受SearchSecurity.com采訪時，反惡意軟件廠商卡巴斯基首席執(zhí)行官兼聯合創(chuàng)始人Eugene Kaspersky表示，企業(yè)必須提高攻擊者繞過其防御的復雜度和成本。他提到了著名的Stuxnet木馬攻擊，據稱該病毒侵入了伊朗納坦茲提煉設施中完全斷開的網絡，這說明即使是完全隔絕的網絡，都難以杜絕病毒攻擊。

為了抵御針對性的惡意軟件攻擊，Kaspersky認為，應用白名單也是個可行的辦法。“如果某個應用做了它不應該做的事情，它將立即通過默認拒絕被阻止，”他表示，“如果你創(chuàng)建一個默認環(huán)境，只有白名單中的應用可以在環(huán)境中運行，你將能夠阻止任何復雜的惡意應用的運行。”

Spire Security公司研究主管Pete Lindstrom也表示，白名單（或者說應用控制）是重要的防御方法，但并不是完全的解決方案。他表示：“這種方法并不總是行得通，因為環(huán)境會變化，一些環(huán)境甚至經常會改變。為了抵御針對性攻擊，企業(yè)需要保持審慎的態(tài)度，而不要被嚇到了。”

出于這種審慎的態(tài)度，企業(yè)應該具備一個事件響應團隊和有效的取證調查能力。根據Zeltser表示，一旦確定了自定義惡意軟件，企業(yè)應該檢查該惡意軟件以及它所處的環(huán)境，以了解攻擊事件的嚴重性。他還表示，企業(yè)需要通過了解被攻擊系統的性質以及他們處理的數據、惡意軟件的能力以及惡意軟件使用的方式，來確定攻擊者的潛在目標。Zeltser表示：“取證分析幫助企業(yè)確定如何遏制攻擊者在企業(yè)內的影響，清除惡意軟件，并最終恢復。”