Nick Lewis(CISSP，GCWN))是一名信息安全分析師。他主要負(fù)責(zé)風(fēng)險管理項目，并支持該項目的技術(shù)PCI法規(guī)遵從計劃。2002年，Nick獲得密歇根州立大學(xué)的電信理學(xué)碩士學(xué)位;2005年，又獲得Norwich大學(xué)的信息安全保障理學(xué)碩士學(xué)位。在他09年加入目前的組織之前，Nick曾在波士頓兒童醫(yī)院、哈佛醫(yī)學(xué)院初級兒科教學(xué)醫(yī)院，以及Internet2和密歇根州立大學(xué)工作。

最近的一項測試顯示，有些知名威脅檢測產(chǎn)品無法檢測出自定義惡意軟件。如果說這些系統(tǒng)沒有用，企業(yè)是否仍然應(yīng)該將它們加入到防御計劃中?對于高級持續(xù)性威脅檢測和防御，企業(yè)應(yīng)該使用什么其他類型的技術(shù)和方法?

[[134304]]

目前業(yè)界的共識是，舊的基于簽名的反惡意軟件工具無法抵御有針對性攻擊，或者使用不具有簽名的惡意軟件的攻擊。反惡意軟件行業(yè)很早前就意識到單靠簽名不足以保護其客戶;為此，他們開始添加啟發(fā)式、異常檢測和其他功能(例如基于主機的入侵保護系統(tǒng))。很多供應(yīng)商表示他們的新功能可以抵御高級持續(xù)性威脅(APT)或者有針對性攻擊。

目前安全行業(yè)正在改進新功能以抵御不斷變化的攻擊。獨立研究機構(gòu)MRG Effitas和CrySys實驗室在2014年11月發(fā)布的技術(shù)報告(以及其他類似報告)可以幫助企業(yè)了解當(dāng)前系統(tǒng)的局限性，從而做出改進。在企業(yè)確定工具是否適合其環(huán)境以及提高流程效率時，可以參考這些獨立測試結(jié)果。

企業(yè)需要評估安全工具在其環(huán)境中如何運作;對于APT工具，這可能需要比標(biāo)準(zhǔn)供應(yīng)商30天評估更長的時間，但企業(yè)必須相信其選擇的工具將提供相應(yīng)的功能和價值。

MRG Effitas和CrySyS實驗室報告提醒讀者，反APT工具的功能并非完全相同，可能在企業(yè)環(huán)境中無法互換。安全團隊?wèi)?yīng)該評估反APT工具是否適合其現(xiàn)有信息安全計劃，并確定它將如何與其內(nèi)部系統(tǒng)整合。他們還可以使用其企業(yè)環(huán)境的真正攻擊數(shù)據(jù)來評估工具是否以及如何抵御攻擊。

如果企業(yè)選擇基于網(wǎng)絡(luò)的反APT工具，還應(yīng)該評估其他保護措施，例如端點反惡意軟件、白名單和主機入侵檢測保護工具，看看它們是否可以補充反APT工具。還要注意的是，還需要更新內(nèi)部監(jiān)控工具、日志分析、基于主機的入侵檢測和其他技術(shù)來檢測和低于現(xiàn)有威脅媒介。