當企業CISO和安全團隊為2021年及以后制定防御策略時，高級持續威脅(APT)是重要討論部分，因為與過去相比，現在這種威脅帶來更高風險。現在有很多APT團伙，例如Cozy Bear或APT29、Dynamite Panda或者說APT18，這些團伙源自俄羅斯和伊朗等國家，旨在實現具有國家層面意義的目標，例如為政治目的進行間諜活動、盜竊知識產權或破壞基礎設施。

APT的共同點是他們具有無限的資源。他們可無限制地獲取專業技能、技術、情報和資金，這使得他們所產生的攻擊變得更加復雜、難以檢測并且更加持續。考慮到這種情況，我們是否可以安全地假設APT僅針對最大的目標，例如政府和跨國公司?事實并不是這樣。

構建涵蓋APT的安全策略

當任何規模的企業開始制定安全策略時，重要的是回答三個關鍵問題：

• 誰可能會攻擊我們，以及為什么?
• 他們可能如何攻擊我們?
• 我們將需要部署哪些技術來緩解這些攻擊?

在過去，第一個問題和第二個問題緊密相關，因為這些APT團伙通常有自己的一套策略、技巧和流程。從網絡安全的角度來看，了解APT的攻擊手法至關重要，這使防御者能夠集中資源來構建功能，以抵御他們最容易受到的攻擊，這意味著大多數企業(尤其是規模較小的企業)可以相當準確地計算APT風險。然而，在當今的全球經濟下，情況已經發生變化。

在民族國家攻擊者對大型企業或政府組織發起攻擊時，通常會選擇小型企業作為灘頭陣地。但是，最近發生的數據泄露事故讓我們意識到供應鏈的蔓延和相互聯系性質的嚴重性。誰可能攻擊我們、原因和手段之間的關聯在很大程度上已被打破。

在2016年末和2017年初，Shadow Brokers團伙在互聯網上丟棄了據稱是從國家安全局竊取的網絡工具。這些工具以及其他類似工具使資源不太豐富的攻擊者可以利用以前僅由國家支持的攻擊者可以使用的資源和技術。

此外，更令人擔憂的是，安全研究人員最近報告了“雇傭黑客”或“APT即服務”類型攻擊的示例。卡巴斯基實驗室和Bitdefender都最近發布報告稱，APT團伙似乎被雇傭作為數字刺客，以對小型商業組織發起攻擊，但沒有跡象表明這些攻擊的目標是在國家層面。這種“雇傭攻擊”模型主要出于金錢目的。

了解當前的威脅形勢

現在的威脅形勢需要各種規模的企業都準備好防御更復雜和持續的攻擊。通過了解和整合最佳做法和措施–有關全球最大的組織和政府機構如何保護自己的，任何成熟度水平的網絡安全計劃都可以從中受益。

下面是需要考慮的事情：

假設攻擊會發生。早在2014年，時任聯邦調查局局長James Comey說：“美國公司分為兩種類型：已經遭受攻擊的公司和還不知道的公司。”這個說法在當時可能是正確的，現在更是如此。APT使社會工程學成為一種藝術形式。因此，憑證盜竊與67%的數據泄露事故有關。攻擊必然會發生;攻擊者會找到入侵網絡的方式。請接受現狀，假設它會發生，然后去查找。

保持主動，而不是被動。假設攻擊會發生意味著我們知道我們的工具將無法阻止每一次攻擊。采取被動的姿態并等待工具告訴我們何時采取行動是一種過時的運營模式。主動分析(通常稱為網絡威脅搜尋)是所有現代安全程序的重要組成部分。威脅搜尋小組執行情境化搜尋，由威脅情報引導并基于數據驅動分析，以根除隱藏的入侵者-搜索和破壞的練習。

快速響應能力。在過去，安全團隊對事件進行分級響應。警報會觸發調查，然后觸發更多的信息收集，這通常需要部署更多的工具，從而觸發進一步的監視;然后，開始執行阻止和清除計劃。這種方法太慢，并且給精明的攻擊者提供時間來了解目標環境，并部署持續性機制，也使抵御工作變得更加困難。有效的安全團隊知道在給定情況下需要立即采取行動，包括事件驗證和適當的響應，以及哪些領域可以從自動化中受益。

用專業技能對付專業技能。無論技術多么先進，光靠技術，永遠無法取代高技能、積極進取和支持的團隊所能提供的無形直覺。如果沒有訓練有素、裝備精良且經驗豐富的安全分析師來應對APT攻擊者，內部安全團隊的失敗概率會超過成功概率。

了解如何抵御當今的高級持續威脅

當我們看到越來越多的證據表明APT攻擊正在逐漸產品化時，可以確定的是，與過去相比，所有企業都可能面臨更持續更復雜的攻擊。因此，對于安全團隊來說，重要的是要認識到，在當今威脅形勢下，有效的安全計劃需要結合防御技術與24小時連續監控，因為攻擊者在多個時區工作。如果安全團隊想要成功保護他們其企業，則需要有效和主動的威脅檢測，以及一套明確的快速響應措施。