眾所周知，高級(jí)可持續(xù)威脅(APT攻擊)非常難以檢測(cè)，對(duì)抗高級(jí)持續(xù)威脅似乎是一場(chǎng)無(wú)望的戰(zhàn)斗。現(xiàn)在，APT攻擊已不僅僅是一個(gè)民族或是國(guó)家需要面對(duì)的問(wèn)題，它也不再只專(zhuān)注于針對(duì)軍隊(duì)和其他政府的間諜活動(dòng)或攻擊，APT攻擊已經(jīng)開(kāi)始瞄準(zhǔn)IT、能源、新聞、電信、制造和其他經(jīng)濟(jì)行業(yè)。

根據(jù)一些安全專(zhuān)家表示，企業(yè)永遠(yuǎn)不可能完全的消除這種攻擊，但我們可以檢測(cè)到APT以及盡量減少它們所造成的損害。Palo Alto公司高級(jí)安全分析師Wade Williamson表示，“天并沒(méi)有塌下來(lái)，我們還有解決辦法，很多時(shí)候，安全人員使用APT作為失敗的借口，但不應(yīng)該是這樣，我們還是有辦法來(lái)對(duì)付APT。”

Williamson也認(rèn)為，有效地檢測(cè)和抵御APT需要的不僅僅是技術(shù)，我們所需要作出的最大改變是策略，安全必須發(fā)展成為紀(jì)律。

Williamson表示，“安全人員應(yīng)該保持好奇的心態(tài)，尋找異常的活動(dòng)，并問(wèn)自己這意味著什么，以及應(yīng)該如何深入這個(gè)問(wèn)題。我們需要自動(dòng)化安全來(lái)阻止壞的東西，但我們也需要有創(chuàng)新的安全專(zhuān)家來(lái)尋找新奇的攻擊行為。”

讓我們看看對(duì)抗高級(jí)持續(xù)威脅的六大秘訣：

1、使用大數(shù)據(jù)進(jìn)行分析和檢測(cè)

RSA執(zhí)行主席Art Coviello在2013 RSA大會(huì)表示：“我們應(yīng)該從防御模式轉(zhuǎn)移--大數(shù)據(jù)能讓你更快速地檢測(cè)和響應(yīng)。”Seculert公司創(chuàng)始人兼首席執(zhí)行官Aviv Raff同意這種觀(guān)點(diǎn)，他指出從網(wǎng)絡(luò)外圍抵御是不可能的，企業(yè)必須從分析的數(shù)據(jù)中來(lái)檢測(cè)攻擊。這也是大數(shù)據(jù)分析派上用場(chǎng)的地方。

當(dāng)然，這意味著企業(yè)需要投資于分析工具。Damballa公司首席技術(shù)官Brian Foster表示，“IT沒(méi)有及時(shí)發(fā)現(xiàn)攻擊所需的自動(dòng)化工具，他們只有海量的數(shù)據(jù)，該行業(yè)應(yīng)該向IT提供大數(shù)據(jù)分析方法來(lái)幫助他們檢測(cè)網(wǎng)絡(luò)中的攻擊。”

他補(bǔ)充說(shuō)，大數(shù)據(jù)能夠幫助檢測(cè)，但這里最重要的一點(diǎn)是，攻擊已經(jīng)擴(kuò)展到多種技術(shù)，我們的安全視角必須突破“孤島”模式，采用更為全面的視角。

2、與正確的人共享信息

根據(jù)Anton Chuvakin表示，攻擊者會(huì)分享數(shù)據(jù)、技巧和方法。IT同樣也應(yīng)該如此，與面臨相同威脅的其他企業(yè)共享技術(shù)和最佳做法。

企業(yè)共享信息的方式應(yīng)該要能夠幫助他們抵御攻擊，而不會(huì)有利于攻擊，且不會(huì)違反法律或涉及信息共享的監(jiān)管要求。

然而，對(duì)于共享信息，除了法律上的考慮，還有經(jīng)濟(jì)上的限制。

3、了解APT攻擊鏈

這是用來(lái)描述APT攻擊階段的模型，這些階段包括偵察、武器化、交付、漏洞利用、安裝、命令&控制和行動(dòng)(這部分內(nèi)容請(qǐng)參考：從偵查到破敵 APT攻擊過(guò)程全揭密)。這基本上類(lèi)似于入室盜竊，小偷在行竊前，會(huì)對(duì)建筑物進(jìn)行偵察等活動(dòng)。

顯然，企業(yè)在越早期階段檢測(cè)到攻擊，就越可能阻止攻擊。理解和分析這些殺傷鏈?zhǔn)顷P(guān)鍵，可以幫助企業(yè)在必要階段部署適當(dāng)?shù)姆烙刂啤?/p>

4、尋找感染指標(biāo)(IOC)

這與理解“APT攻擊鏈”有關(guān)聯(lián)。沒(méi)有企業(yè)可以阻止所有攻擊，因此，IT團(tuán)隊(duì)需要知道如何尋找異?；顒?dòng)。這包括尋找APT可能與網(wǎng)絡(luò)外部通信的獨(dú)特方式，任何奇怪的DNS查詢(xún)或聯(lián)絡(luò)網(wǎng)站都是廠(chǎng)家的IOC。

APT通常會(huì)根據(jù)其尋求自定義工具，而這通常為IT提供了區(qū)分APT與正常流量的因素。他們通常會(huì)使用各種常見(jiàn)應(yīng)用程序，例如遠(yuǎn)程桌面應(yīng)用程序、代理或加密通道來(lái)通信。

這些應(yīng)用程序和其他應(yīng)用程序的不尋常使用都是找出APT的關(guān)鍵。當(dāng)然，這需要IT完全了解網(wǎng)絡(luò)正常情況是什么樣。另外，追蹤用戶(hù)異常行為也可以有所幫助。

5、測(cè)試你的網(wǎng)絡(luò)

這可以包括主動(dòng)分析或沙箱技術(shù)。確定事物是否為惡意的最佳方法是實(shí)際運(yùn)行它，看看它的行為是否為惡意。

雖然企業(yè)有漏洞管理工具來(lái)幫助修復(fù)明顯的漏洞，但企業(yè)也應(yīng)該定期進(jìn)行自我網(wǎng)絡(luò)的攻擊測(cè)試(或者尋找第三方)來(lái)找出問(wèn)題所在。

6、提供更多關(guān)于APT的培訓(xùn)

Booz Allen Hamilton公司網(wǎng)絡(luò)安全分析師Edwin Covert表示，企業(yè)需要一個(gè)新的培訓(xùn)模式，來(lái)培養(yǎng)APT獵人，因?yàn)樾畔踩珜?zhuān)家的標(biāo)準(zhǔn)技巧顯然不足以能夠?qū)笰PT。

他表示，“對(duì)抗APT需要能夠看清楚事物的能力，CISSP(認(rèn)證信息系統(tǒng)安全專(zhuān)家)是針對(duì)技術(shù)經(jīng)理，而不是APT獵人。”

APT獵人需要能夠發(fā)現(xiàn)大多數(shù)管理員或者甚至安全人員看不到的異常文件。目前，業(yè)界對(duì)于APT防護(hù)的人才需求供不應(yīng)求。企業(yè)需要至少3萬(wàn)名APT防護(hù)方面的專(zhuān)家，但只有1000到2000人具有對(duì)抗現(xiàn)實(shí)世界APT攻擊的必要技能。