如同一個APT攻擊需要突破多個網絡層才可以成功一樣，如果企業不希望淪為APT的獵物必須實施能夠進行多層網絡防御的安全策略。也就是說單一的網絡安全功能是不能夠防御APT攻擊的。

[[156468]]

安全協助：

攻擊者不會止步于獲取更多的目標來彰顯其“榮譽”，所以公司機構的安全策略與防御體系也不是一日之功。公司機構需要可靠的IT雇員了解最新的威脅與潛在的攻擊路徑，與網絡安全組織保持近距離的接觸，在必要的時候可獲得幫助。

最終用戶的引導：

網絡攻擊者選定的最終用戶攻擊目標，一定是攻擊目標存在可以發動首次攻擊的最佳機會。這如同銀行劫匪的“座右銘”，“錢在哪我們就在哪”的道理是一樣的。 引導并教育最終用戶正確地使用社交媒體保護隱私以及機密信息防止被利用是安全防御中重要的一環。同樣關鍵的是，在公司機構具有訪問敏感數據的雇員應受到數據處理方面的專門培訓。定期對公司雇員進行內部的安全風險防范意識培訓可減少被攻擊的機率。

網絡隔離：

如果一個雇員沒有來由地訪問了可能包含敏感數據的特別資源，那么基本的網絡隔離可以協助防御在內部網絡之間的流傳。對內部網絡資源進行用戶訪問細分，可潛在的避免攻擊者。

Web過濾/IP信譽：

通過使用當前的IP信譽數據與web過濾規則的解決方案，可能會阻擋一些攻擊。舉例說明，如果會計團隊沒來由地去訪問地球另一端國家的網站或者IP地址，創建web訪問過濾規則可以有效防止可能中招被攻擊網站的訪問。通過使用IP信譽服務，可以避免一些攻擊者使用攻擊其他公司的伎倆，來故伎重演的攻擊下一個目標公司。

白名單：

白名單功能的使用有很多方法可言。例如，網絡白名單可設置只允許一些內部流量訪問網絡資源。這可以避免攻擊者侵入內部網絡。網絡白名單還可以防止用戶訪問那些沒有明確被允許的網站。應用白名單可設置一個只允許在計算機設備運行的應用名單，阻斷其他軟件在設備的運行。這樣可避免攻擊方在目標用戶的計算機系統運行新的程序。

黑名單：

白名單顧名思義是明確被允許執行或訪問資源的名單，黑名單同理是設置阻斷對不安全的資源、網絡或應用訪問的名單。

應用控制：

如今雇員使用網絡服務的現象相當普遍，例如Facebook、Twitter以及Skype。許多公司是不對這些應用的訪問作控制與管理的，如此自由的訪問與應用可會將公司暴露在新一代的基于web的威脅與灰色軟件之下。應用控制功能可以識別與控制網絡中的應用，無論是基于端口、協議或者IP地址。通過行為分析工具、最終用戶關聯與應用分類可以識別并阻斷潛在的惡意應用與灰色軟件。

基于云端的沙盒：

基于云端的技術與資源進化得更為豐富了，“移交”式分析與檢測成為檢測潛在威脅的一種好工具。基于云端的沙盒可以在可控的系統中執行未知的文件與URL，所述可控的系統可以分析這些文件與URL的行為規則以檢測可疑或異常的活動。

終端控制/AV：

舊有的基于客戶端的反病毒與反灰色軟件防御解決方案仍可提供可靠的病毒與灰色軟件防御。但是多數客戶端應用不能防御零日攻擊，可以阻斷的是黑客使用過去的相同或相似的攻擊手段。

數據防泄漏(DLP)：

正確的識別敏感數據并有效地實施DLP解決方案是公司機構能夠高效的保護敏感的數據避免泄漏的方法。

入侵防御(IPS)/入侵檢測(IDS)：

IPS與IDS產品可以作為另一層監控網絡流量可疑活動的防御體系。好的IPS與IDS系統同樣會對IT人員報警潛在的威脅。

主動打補丁：

計算機設備的安全有賴于所運行的軟件的安全，所以及時的打補丁是非常必要的。關鍵補丁不及時安裝的話，公司機構的網絡系統就存在著可被攻擊的漏洞。對于業務環境要求苛刻、不間斷運行的用戶，保持測試設備能夠運行補丁測試關鍵應用的環境很重要，這樣才能夠不影響到主網絡環境。

管理權限的限制：

一些公司對雇員提供的是基于本地的管理權限，便于隨時管理安全驅動或軟件。這樣的權限管理是一把雙刃劍，一方面是減少了技術支持的經理且賦予了雇員更多的IT自由度，另一方面會導致網絡系統輕易的被黑客訪問或安裝惡意軟件，以及在受害人計算機系統安裝遠程訪問工具(也就是RAT：remote access tools)。細化管理權限也有助于攻擊的防御。

網絡訪問控制：

NAC是一種網絡資源訪問限制的解決方案，也就是說，只有符合某些規則或策略后訪問網絡資源。舉例說明，如果一臺計算機設備最近沒有打補丁，NAC可以做策略限制將該設備隔離在子網直至其打了補丁后才可以訪問網絡資源。

雙因子驗證：

適用于最終用戶可選的有很多種雙因子認證方式。通過對遠程用戶或需要訪問敏感數據的用戶實行雙因子認證，也可以有效防御數據的丟失或信用狀被竊取，因為攻擊者需要提供另一種方式的識別才能夠進行網絡訪問。

通常使用的雙因子認證方式包括標準的用戶名與密碼，加上基于硬件或軟件的認證密鑰，該密鑰是用于提供一次性有效的數字串，在用戶名與密碼輸入后必須輸入的密鑰數字。

UDB使用限制：

多數的計算機設備是沒有任何限制運行USB及其中的自動的應用。在驅動中嵌入惡意代碼也是黑客常用的攻擊手段之一。嚴格禁止USB的使用是相對最安全的做法，但是如果USB的使用是必需的，那么可以配置策略阻斷自動運行的驅動程序。

基于云端文件共享的訪問限制：

例如Dropbox這樣的服務是享有廣泛的應用的，不管是在家或是在辦公室。如同USB驅動訪問，限制策略是必要的。基于云端的文件共享與同步應用使攻擊者先攻擊家用的計算機，并在用戶同步文件到公司網絡時將惡意軟件帶到公司網絡中有機可趁。

融合性防御

我們能夠很明確的是，一些組織是不惜一切代價將感興趣的數據弄到手，同時也沒有一種萬能的方法消除APT攻擊的風險; 企業或公司機構可以采取風險最小化的多層以及融合性防御戰略。

防火墻與入侵防御技術的部署是綜合有效安全防御策略的開始;反灰色軟件技術，結合數據防泄漏以及基于角色的安全策略配置也應用綜合防御應包括的重要部分。同時，反垃圾郵件與網頁過濾的解決方案，也是應用控制機制的進一步落實，在攻擊的每個階段步驟都具有有效的防御，才是APT攻擊防御的萬全之策。