APT极其狡猾、隐匿，这预示着机构很可能在几个月内持续遭受入侵，却浑然不知。如果出现这种受到攻击者数月隐匿攻击，自己却蒙在鼓里的情况，该如何应对呢？

如何防范 APT？

　　防范是理想举措，而检测则是必要的。多数机构仅仅重视防范措施，对于 APT 而言，它是伪装成合法流量侵入网络的，很难加以分辨，因此防范效果甚微。只有攻击数据包进入网络内部，破坏和攻击才开始实施。

　　针对 APT这种新的攻击媒介，以下是防范此类威胁的必要措施：

　　1）控制用户并增强安全意识 — 一条通用法则是：你不能阻止愚蠢行为发生，但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险，这是一项需要长期坚持的措施。

　　2）对行为进行信誉评级 — 传统安全解决方案采用的是判断行为“好”或“坏”、进而“允许”或“拦截”之类的策略。不过，随着高级攻击日益增多，这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络，得逞后再实施破坏。由于攻击者的目标是先混入系统，因此，需要对行为进行跟踪，并对行为进行信誉评级，以确定其是否合法。

　　3）重视传出流量 — 传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑，这对于截获某些攻击还是有效的，而对于 APT，传出流量则更具危险性。如果意在拦截数据和信息的外泄，监控传出流量是检测异常行为的有效途径。

　　4）了解不断变化的威胁 — 对于您不了解的东西很难做到真正有效的防范。因此，有效防范的唯一途径是对攻击威胁有深入了解，做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩，将不能做到根据威胁状况有效调整防范措施。

　　5）管理终端 — 攻击者可能只是将侵入网络作为一个切入点，他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险，控制和锁定终端将是一项长期有效的机构安全保护措施。

　　如今的威胁更加高级、更具持续性、更加隐匿，同时主要以数据为目标，因此，机构必须部署有效的防护措施加以应对。

　　总结

　　确保机构得到适当保护的有效方法是运行模拟攻击（例如，入侵测试、红队和伦理黑客攻击），以了解组织的漏洞状况。最为重要的是，如何快速检测漏洞。确保成功的关键要素是：

　　1） 切记一定获得明确批准

　　2） 确保执行测试的人员具备等同于真正黑客的专业技术水平

　　3） 运行良性攻击

　　4） 及时修复漏洞

　　好消息是通过了解威胁和机构的漏洞情况，用户将能够有效抵御APT。

　　今后一段时期，APT将会越来越频繁的出现。忽视这一问题意味着您的机构将面临着威胁破坏的风险。应对APT的核心要务是要“了解系统/网络”。越了解网络流量和服务，越能更好的确定/识别异常行为，进而能更好的防范APT。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点