眾所周知，高級可持續(xù)威脅(APT攻擊)非常難以檢測，對抗高級持續(xù)威脅似乎是一場無望的戰(zhàn)斗?，F(xiàn)在，APT攻擊已不僅僅是一個民族或是國家需要面對的問題，它也不再只專注于針對軍隊(duì)和其他政府的間諜活動或攻擊，APT攻擊已經(jīng)開始瞄準(zhǔn)IT、能源、新聞、電信、制造和其他經(jīng)濟(jì)行業(yè)。

根據(jù)一些安全專家表示，企業(yè)永遠(yuǎn)不可能完全的消除這種攻擊，但我們可以檢測到APT以及盡量減少它們所造成的損害。Palo Alto公司高級安全分析師Wade Williamson表示，“天并沒有塌下來，我們還有解決辦法，很多時候，安全人員使用APT作為失敗的借口，但不應(yīng)該是這樣，我們還是有辦法來對付APT。”

Williamson也認(rèn)為，有效地檢測和抵御APT需要的不僅僅是技術(shù)，我們所需要作出的最大改變是策略，安全必須發(fā)展成為紀(jì)律。

Williamson表示，“安全人員應(yīng)該保持好奇的心態(tài)，尋找異常的活動，并問自己這意味著什么，以及應(yīng)該如何深入這個問題。我們需要自動化安全來阻止壞的東西，但我們也需要有創(chuàng)新的安全專家來尋找新奇的攻擊行為。”

讓我們看看對抗高級持續(xù)威脅的六大秘訣：

1、使用大數(shù)據(jù)進(jìn)行分析和檢測

RSA執(zhí)行主席Art Coviello在2013 RSA大會表示：“我們應(yīng)該從防御模式轉(zhuǎn)移--大數(shù)據(jù)能讓你更快速地檢測和響應(yīng)。”Seculert公司創(chuàng)始人兼首席執(zhí)行官Aviv Raff同意這種觀點(diǎn)，他指出從網(wǎng)絡(luò)外圍抵御是不可能的，企業(yè)必須從分析的數(shù)據(jù)中來檢測攻擊。這也是大數(shù)據(jù)分析派上用場的地方。

當(dāng)然，這意味著企業(yè)需要投資于分析工具。Damballa公司首席技術(shù)官Brian Foster表示，“IT沒有及時發(fā)現(xiàn)攻擊所需的自動化工具，他們只有海量的數(shù)據(jù)，該行業(yè)應(yīng)該向IT提供大數(shù)據(jù)分析方法來幫助他們檢測網(wǎng)絡(luò)中的攻擊。”

他補(bǔ)充說，大數(shù)據(jù)能夠幫助檢測，但這里最重要的一點(diǎn)是，攻擊已經(jīng)擴(kuò)展到多種技術(shù)，我們的安全視角必須突破“孤島”模式，采用更為全面的視角。

2、與正確的人共享信息

根據(jù)Anton Chuvakin表示，攻擊者會分享數(shù)據(jù)、技巧和方法。IT同樣也應(yīng)該如此，與面臨相同威脅的其他企業(yè)共享技術(shù)和最佳做法。

企業(yè)共享信息的方式應(yīng)該要能夠幫助他們抵御攻擊，而不會有利于攻擊，且不會違反法律或涉及信息共享的監(jiān)管要求。

然而，對于共享信息，除了法律上的考慮，還有經(jīng)濟(jì)上的限制。

3、了解APT攻擊鏈

這是用來描述APT攻擊階段的模型，這些階段包括偵察、武器化、交付、漏洞利用、安裝、命令&控制和行動(這部分內(nèi)容請參考：從偵查到破敵 APT攻擊過程全揭密)。這基本上類似于入室盜竊，小偷在行竊前，會對建筑物進(jìn)行偵察等活動。

顯然，企業(yè)在越早期階段檢測到攻擊，就越可能阻止攻擊。理解和分析這些殺傷鏈?zhǔn)顷P(guān)鍵，可以幫助企業(yè)在必要階段部署適當(dāng)?shù)姆烙刂啤?/p>

4、尋找感染指標(biāo)(IOC)

這與理解“APT攻擊鏈”有關(guān)聯(lián)。沒有企業(yè)可以阻止所有攻擊，因此，IT團(tuán)隊(duì)需要知道如何尋找異?；顒?。這包括尋找APT可能與網(wǎng)絡(luò)外部通信的獨(dú)特方式，任何奇怪的DNS查詢或聯(lián)絡(luò)網(wǎng)站都是廠家的IOC。

APT通常會根據(jù)其尋求自定義工具，而這通常為IT提供了區(qū)分APT與正常流量的因素。他們通常會使用各種常見應(yīng)用程序，例如遠(yuǎn)程桌面應(yīng)用程序、代理或加密通道來通信。

這些應(yīng)用程序和其他應(yīng)用程序的不尋常使用都是找出APT的關(guān)鍵。當(dāng)然，這需要IT完全了解網(wǎng)絡(luò)正常情況是什么樣。另外，追蹤用戶異常行為也可以有所幫助。

5、測試你的網(wǎng)絡(luò)

這可以包括主動分析或沙箱技術(shù)。確定事物是否為惡意的最佳方法是實(shí)際運(yùn)行它，看看它的行為是否為惡意。

雖然企業(yè)有漏洞管理工具來幫助修復(fù)明顯的漏洞，但企業(yè)也應(yīng)該定期進(jìn)行自我網(wǎng)絡(luò)的攻擊測試(或者尋找第三方)來找出問題所在。

6、提供更多關(guān)于APT的培訓(xùn)

Booz Allen Hamilton公司網(wǎng)絡(luò)安全分析師Edwin Covert表示，企業(yè)需要一個新的培訓(xùn)模式，來培養(yǎng)APT獵人，因?yàn)樾畔踩珜＜业臉?biāo)準(zhǔn)技巧顯然不足以能夠?qū)笰PT。

他表示，“對抗APT需要能夠看清楚事物的能力，CISSP(認(rèn)證信息系統(tǒng)安全專家)是針對技術(shù)經(jīng)理，而不是APT獵人。”

APT獵人需要能夠發(fā)現(xiàn)大多數(shù)管理員或者甚至安全人員看不到的異常文件。目前，業(yè)界對于APT防護(hù)的人才需求供不應(yīng)求。企業(yè)需要至少3萬名APT防護(hù)方面的專家，但只有1000到2000人具有對抗現(xiàn)實(shí)世界APT攻擊的必要技能。