傳統(tǒng)的安全方法提供了阻止已知惡意活動的控制，通常在遭受攻擊后還伴隨有后續(xù)的調(diào)查。

更復(fù)雜的企業(yè)會部署一些諸如沙箱的技術(shù)來檢測和阻止以前未被發(fā)現(xiàn)的攻擊。在遭到攻擊和破壞后，安全團隊往往會重視事件本身，但并沒有從攻擊者獲得更多情報，或者分析與之有關(guān)的事件。

[[149462]]

這些方法可能會遺漏高級攻擊的一個基本事實：這些攻擊并不是某個時點的活動，而是一系列可以在未來幾周或幾個月或幾年發(fā)生的事件。高級攻擊者可能會展開大量的活動，如深度調(diào)查、小型感染，以便于生成第二階段或第三階段的惡意軟件，等等。冰凍三尺，非一日之寒。攻擊和破壞本身是在過去的長時間里發(fā)生的一整套連續(xù)活動的高潮和頂點。在此過程中的每個步驟，往往屬于網(wǎng)絡(luò)攻擊的生命周期，代表著檢測和防止攻擊者的一個重要機會。

在你簡單修復(fù)攻擊所造成的后果時，或者在你簡單地阻止惡意活動的發(fā)生時，你其實正在浪費獲得此事件背景的寶貴機會，例如“誰” “如何操作”以及“為什么”如此操作。確切地說，你從這些事件中獲得的信息越多，就可以更好地理解安全狀態(tài)，從而可以防止類似事件的再次發(fā)生。

攻擊者能夠輕松地改變其使用的惡意軟件，但是要讓他強化工具、策略、過程就要困難得多，而安全管理者可用這一點來檢測其未來的活動。

例如，不妨比較以下兩種情形：

第一種，你檢測到一個未知的惡意軟件感染了一臺電腦。你重新鏡像了此系統(tǒng)，并找到了一個未來的惡意軟件的簽名。

第二種，你檢測并分析研究了一個惡意軟件，將一系列最終導(dǎo)致感染的事件聯(lián)系起來。你發(fā)現(xiàn)在這種攻擊中所使用的方法類似于某個有大量資金支持的高級持續(xù)性威脅(APT)所利用的方法。

在第一種情況中，你快速修復(fù)了問題，并且增加了一個規(guī)則以防止完全相同事件的再次發(fā)生。但在第二種情況中，你不但修復(fù)了問題以及部署了一個簽名，而且還判定了誰在找你的麻煩，如何操作，采用了哪些具體措施，并且理解了他的下一步目標甚至最終目標。這些情報有助于你確認其它被感染的機器，也可以發(fā)現(xiàn)被攻擊者植入的后門。利用獲得的這些情報，你可以找到一系列以前并沒有發(fā)現(xiàn)的線索。

你還可以更高效地利用安全團隊花費在安全事件上的有限時間。例如，與由政府或國家支持的網(wǎng)絡(luò)間諜活動相比，低級的網(wǎng)絡(luò)犯罪組織要求的響應(yīng)就截然不同，因為這二者之間的復(fù)雜程度差異很大，企業(yè)的安全團隊知道哪些最應(yīng)優(yōu)先考慮和對待。

你并不是在孤獨地戰(zhàn)斗。你可以找到大量的公共資源、提供信息共享的組織、廠商研究報告、分析服務(wù)等，這些都可以幫助你分析對手的情報。你獲得的信息越多，分析得越好，就可以制定更佳的安全策略，從而可以更好地阻止有可能危害企業(yè)的特定對手。在攻擊發(fā)生時，要珍惜檢查事件的廣泛背景，分析誰在攻擊企業(yè)網(wǎng)絡(luò)以及采取哪些措施來防止未來的攻擊。