M女士對那塊保存了幾乎所有在全球恐怖組織內(nèi)臥底的北約特工身份名單的硬盤抱有勢在必得的決心，這種東西絕對不能落在敵人的手里。為了奪回它，在邦德和敵人混戰(zhàn)的過程當中，M女人下達了對敵人開槍的命令，但是很不幸邦德被誤傷，敵人帶著硬盤逃跑了。

三個月后，敵人帶著破解的硬盤數(shù)據(jù)入侵了軍情六處，炫耀性的引爆了一幢樓頂。

M做錯了什么導致事態(tài)發(fā)展到現(xiàn)在這種狀況？

發(fā)現(xiàn)被攻擊需要壯士斷腕

在發(fā)現(xiàn)重要數(shù)據(jù)即將丟失，M很果斷的下達了開槍的命令，但是注水的槍手讓觀眾失望了。這就造成了好的壞的"數(shù)據(jù)"都被污染了。但是不管怎么說，這里所采取的手段無疑是正確的，在我們發(fā)現(xiàn)自己的敏感服務(wù)器被入侵后，要及時的物理隔離該機器，然后認真的對該服務(wù)器進行病毒和入侵檢查。排查問題的原因所在，因為這個階段往往已經(jīng)發(fā)生了一些損失（如果沒有損失那么一般我們也不會去管你?。匀绾巫屵@種損失不擴散就成了重中之重。

木桶理論

"網(wǎng)絡(luò)安全"就像一個木桶，安全與否不在于防護的最強健的部分，而在于防護最弱的短板。短板一旦被入侵，后果不堪設(shè)想。我們也許花了大價錢購買了防火墻、防水墻、也做了數(shù)據(jù)防泄密（DLP），但最終數(shù)據(jù)還是遺失了，這是為何？也許一封沒有被過濾的病毒郵件、一個沒有受控的優(yōu)盤，都是萬里長城毀于一旦的蟻穴。從以往來看，真正被入侵的計算機用戶，很少是專業(yè)的安全運維人事，這部分人事都是相對難啃的骨頭；真正被入侵的用戶往往都是位高權(quán)重且缺少安全意識的高級管理人員。而這部分人的失誤，卻需要專業(yè)的安全運維人員買單。就像M女士的位于軍情六處的計算機被入侵一樣，位高權(quán)重人士的信息丟失似乎更加難以讓人接受。

加固環(huán)境，雙因素認證

M的例子無疑是一個反面教材，那么我們應(yīng)該如何做，以應(yīng)對這種APT(高級持續(xù)性威脅)呢？首先要做的就是加強短板防護，對"位高權(quán)重"但是缺少安全意識的用戶我們應(yīng)該進行一個簡短卻有力的分享，把它們賬號失竊的損失進行嚴峻的剖析。
不過這種言語上的教育有時候只剩下"教育意義"了，我們首先要彌補的是"弱點A"，移動用戶通過互聯(lián)網(wǎng)接入到私密網(wǎng)絡(luò)時的身份驗證問題，那么采用"雙因素認證"無疑是一個不錯的解決方案。什么是雙因素認證呢？簡單來說，雙因素身份認證就是通過你"所知道"再加上你"所能擁有"的這二個要素組合到一起才能發(fā)揮作用的身份認證系統(tǒng)。例如，在ATM上取款的銀行卡就是一個雙因素認證機制的例子，需要知道取款密碼和銀行卡這二個要素結(jié)合才能使用。在安全行業(yè)，我們一般把這種"所知所持"換成一個牢記于心的密碼和一個USB加密狗，當然也有高級一點的使用動態(tài)口令牌，但是技術(shù)原理都是一樣的。保證一個"所知"，一個"所持"。如果把密碼告破當做敵人中了500萬，那么這個USB加密狗或者動態(tài)令牌就相當于敵人要連續(xù)中兩次500萬才能成功入侵，這樣無形的提升了入侵的難度，同時使用難度也沒有明顯提升，對"位高權(quán)重"人士來說，應(yīng)該很容易接受吧？

加固環(huán)境，苛刻網(wǎng)絡(luò)限制

對于信息泄密來說，很多時候用戶被入侵是后知后覺，發(fā)現(xiàn)之后往往意味著信息已經(jīng)被大量泄露。那么在網(wǎng)絡(luò)層面，其實我們也有很多好方法。比如使用簡單的ACL（訪問控制列表）就可以到一定的防護效果。駭客在成功進入系統(tǒng)后，總是需要將有用的信息發(fā)送到它自己的服務(wù)器上。那么假設(shè)我們的工作環(huán)境不允許訪問除了baidu.com/workspace.com這種公信的網(wǎng)站之外的地址。那么即使駭客能力再大，也無法跳出這種網(wǎng)絡(luò)層面的限制。一個訪問條件苛刻的互聯(lián)網(wǎng)環(huán)境盡管有那么點影響用戶最終使用，但相信我們總能夠找到安全和便捷性的一個平衡點，以達到有效應(yīng)對網(wǎng)絡(luò)攻擊的效果。

加固環(huán)境，"硬"碰"硬"

敵人科技裝備優(yōu)良，我們自然也不能示弱。在"弱點B"，我們可以對網(wǎng)絡(luò)設(shè)備盡可能的采用性能和功能強大的設(shè)備。盡管從歷史上來看，被惡意和垃圾電子郵件中附帶的惡意鏈接攻擊成功的用戶占多數(shù)，但我們依然可以通過購買較為高級的郵件防火墻來降低這種可能性。如果這種惡意垃圾郵件無法被過濾，那我們可以提交這份郵件給廠商，以尋求更準確的垃圾郵件分類和篩選。這種方法可以有效保障用戶的訪問習慣，在用戶不知不覺中進行過濾和保護。
不同于郵件防火墻，我們也可以考慮WEB過濾防火墻，對惡意的網(wǎng)址進行有效的篩選和過濾，同樣，作為和郵件系統(tǒng)一樣占據(jù)了大家生活中很大一部分比率的WEB訪問，如果保護好了它，那么多數(shù)情況下我們的數(shù)據(jù)安全也就得到了有效的保障。

加固環(huán)境，注重人為因素

非常無奈的是，很多時候的泄密，并不是技術(shù)不過關(guān)造成的，而是在于使用人員的不在乎、不作為導致重大損失。"弱點C"正是這樣一種情況，由于人的因素，我們的需要對人員管理付出更大的努力。加強平日里的安全意識，對欺詐郵件、欺詐電話以及網(wǎng)站的惡意鏈接等等，進行普及和持續(xù)性的介紹。

總結(jié)

我們總結(jié)一下在發(fā)現(xiàn)APT之后的行為：首先找出有問題的服務(wù)器，將它"區(qū)別對待"；彌補短板，反思錯誤；加固環(huán)境，考慮雙因素認證、網(wǎng)絡(luò)限制、反垃圾郵件過濾、WEB過濾等高級限制方式。