原來(lái)一般認(rèn)為是針對(duì)政府機(jī)構(gòu)的APT攻擊正在變得普遍，而成為一種主流的攻擊手段，各類(lèi)企業(yè)都應(yīng)該對(duì)APT予以重視，因?yàn)楝F(xiàn)在的APT針對(duì)范圍廣泛的私營(yíng)機(jī)構(gòu)，以獲取有價(jià)值的知識(shí)產(chǎn)權(quán)，商業(yè)秘密，公司計(jì)劃，獲得運(yùn)營(yíng)和其他私密數(shù)據(jù)。事實(shí)上，原來(lái)狹義的APT定義(國(guó)家背景，政治背景、軍方戰(zhàn)爭(zhēng)等)已經(jīng)過(guò)時(shí)，現(xiàn)在APT已經(jīng)成為一種常見(jiàn)的攻擊手法。

現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護(hù)體系存在一些缺陷，導(dǎo)致很難識(shí)別APT攻擊。現(xiàn)有的防護(hù)體系包括FW，AV，IDS/IPS，SIEM/SOC，以及組織結(jié)構(gòu)和工作流程等等都存在不足。RSA之前曾有一份報(bào)告寫(xiě)道：

目前增加的問(wèn)題是，很多用戶(hù)方安全團(tuán)隊(duì)不能夠檢測(cè)復(fù)雜攻擊模式。傳統(tǒng)的防病毒，防火墻和入侵檢測(cè)/防御系統(tǒng)(IDS/IPS)工具不形成攻擊的全貌。這些工具可能識(shí)別未經(jīng)授權(quán)的訪(fǎng)問(wèn)，病毒，釣魚(yú)郵件，或惡意軟件，但沒(méi)有關(guān)聯(lián)這些事件。此外，基于簽名的檢測(cè)方法對(duì)APT是無(wú)效的，還有一些未知漏洞會(huì)被攻擊者利用。因?yàn)槿罩痉治鐾ǔＪ琼憫?yīng)監(jiān)管要求來(lái)做的，它通常被調(diào)整為符合合規(guī)要求而不是威脅防御。

另一個(gè)限制是組織結(jié)構(gòu)。通常負(fù)責(zé)安全的各個(gè)群體都太孤立，并且它們之間協(xié)調(diào)也有問(wèn)題。例如，那些只專(zhuān)注事件查看的比如，計(jì)算機(jī)事件響應(yīng)小組(CIRT)或安全運(yùn)營(yíng)中心(SOC) - 就可能沒(méi)有組織最重要的數(shù)字資產(chǎn)的完整信息。此外，高級(jí)持續(xù)性威脅來(lái)自多個(gè)方向攻擊。他們不僅是以 IT為基礎(chǔ)，還有結(jié)合社交工程和/或物理訪(fǎng)問(wèn)的技術(shù)手段。安全團(tuán)隊(duì)不能靠活動(dòng)來(lái)準(zhǔn)確地為孤島分析出多模型攻擊。報(bào)告還指出，應(yīng)對(duì)APT需要采取一種與以往不同的信息安全策略：

信息安全的傳統(tǒng)方法vs高級(jí)方法                                                      

參看上表中的“高級(jí)方法”，與傳統(tǒng)的方法相比，更加注重對(duì)核心資產(chǎn)的保護(hù)(多了也保護(hù)不過(guò)來(lái))，技術(shù)手段上更加注重檢測(cè)技術(shù)(正如NIST SP 800-137提出的持續(xù)監(jiān)控的概念一樣，美國(guó)政府的愛(ài)因斯坦計(jì)劃精髓也在于此)，以數(shù)據(jù)為中心(尤其是出去的數(shù)據(jù))，分析日志(例如借助SIEM/LM)更多是為了檢測(cè)威脅，注重攻擊模式的發(fā)現(xiàn)和描述，從情報(bào)分析的高度來(lái)分析威脅。