高持續性威脅攻擊者可能已經滲透到你的網絡：這是安全領域的新現象，并不罕見，但是你應該做些什么呢？這是超越傳統思維定勢（只考慮預防方面的問題）的問題，“我們正試圖幫助人們從入侵防御轉移到感染后檢測和減小損害的工作上！”Fidelis公司的研究主管Will Irace表示。

攻擊者已經入侵了你的網絡內部可能讓你感染，這讓你有些不安，甚至震驚，但是事實上，這些網絡間諜攻擊已經從軍事/國防部問題演變成困擾各行各業的問題。“在此之前，高級持續攻擊首先是針對軍事部門，接著是政府職能部門，然后是國防工業基地，我們看到相同的攻擊形式不斷地擴大他們的目標范圍，甚至到石油和天然氣、醫藥和其他領域的商業企業，”Mandiant公司首席安全官兼管理服務副總裁Richard Bejtlich表示，“這對于我來說是相當驚人的，他們現在的目標如此之廣。”

Bejtlich表示，盡管這些攻擊具有持續性和經常性，但我相信受害企業最終能夠增強抵御。“這是第一次大家面對這種攻擊，有人跟蹤你，他們不會放棄，他們會不斷試圖進入你的企業，這對于大多數人來說都是前所未聞，”他表示，“可能需要花幾年時間，但在受害企業抵御這些有針對攻擊方面，我相信我們最終將看到改善。”

對于這些攻擊，鮮少有受害者會公開披露自己受到攻擊。在過去幾個月中，網絡間諜活動攻擊開始瞄準多個聯邦文職政府機構的高級官員，這些攻擊活動仍然處于調查之中，但是受害機構的名稱可能永遠無法證實，或者說所產生的損害程度永遠不得而知。攻擊者使用了復雜的惡意軟件和SSL加密連接來從該政府機構來竊取信息，并將信息發送回他們的主服務器。

我們的目標是盡快檢測出這些攻擊類型，并盡量減少你的知識產權信息或者商業機密的泄露數量或者損失，例如“如何在幾小時或者幾天內檢測到他們?”RSA首席安全官Eddie Schwartz表示，“這需要訪問所有與這個安全問題相關的潛在數據。”

Schwartz表示，與傳統安全事件不同，對于高級持續攻擊，你無法從單個日志或者防火墻事件上來作出決定。“一名最終用戶訪問了他正常情況下不需要訪問的系統，”這就屬于一種有針對性的攻擊。

“對于高級持續性攻擊，你需要問，‘這是否屬于某種整體攻擊的一部分，還有另外10到12個移動部分需要追蹤?’”他表示。

但是這種攻擊類型很難檢測，很多企業仍然僅依賴于以預防為主的工具，例如基于簽名的技術和防火墻。高級持續攻擊者更傾向于零日漏洞，或者利用目標公司基礎設施存在的問題。在大多數情況下，第一步都是對毫無戒心的用戶使用社會工程學攻擊，通常是通過看起來像是從用戶熟知的人發來的電子郵件消息，郵件信息包含惡意附件或者網址，一旦打開，就會為攻擊者提供立足點。

安全專家表示，抵御高級持續攻擊者的理想防御方法是結合傳統的防御工具和對網絡和系統的實時監測。但是現在市面上很多工具都是針對基礎設施的不同部分，縱觀所有事件和日志往往是需要手動來操作。這就給了攻擊者更多時間和機會來深入受害者組織，這樣就更難將他們根除。

底線：專家表示，在抵御這些有針對性攻擊方面，現在市面上并不存在“萬能藥”。

“企業部署的大多數監測工具都缺乏挖掘內容與上下文之間存在的重要信息的能力，或者只是一個滲出：加密數據偽裝成數據?在發送到人力資源部的壓縮文件的微軟Office文件中是否存在惡意VBscript？”Fidelis公司的Irace表示，“ 在事故發生的十天后，通過取證數據包分析發現這個問題并不能夠幫助發現高級持續攻擊者：我們需要能夠實時發現并解決這種問題的技術。”

網絡行為異常監測工具可以幫上忙，但是對于內容就無能為力了。入侵防御系統可以發現一些情況，但是并不會檢查負載。“此外，這些工具是為抵御服務器上的數據包攻擊而設計的，而不是針對客戶端的基于負載的攻擊。沙盒技術有助于事后檢查，但是它并不提供實時保護，”Irace表示。

數據包捕獲工具對事后檢查又幫助，但是與沙盒技術一樣，無法提供實時幫助。

黑名單盒白名單防御

已知的黑名單或者最近發現的命令和控制域名可以幫助抓住高級持續攻擊，“第一個增長最快的就是信標檢測，IPS和IDS可以使用，”IT-Harvest的首席研究分析師Richard Stiennon表示，“但是可怕的是當攻擊者設置一個從未使用過的新的ip地址和新的服務器時，你無法通過信標檢測，”他表示。

“最大的擔憂就是1%非常有針對性的攻擊你沒有檢測到，”Stiennon表示。

白名單可以幫助平息有針對性的攻擊，他表示。對白名單的批評就是很多企業并不一定知道在他們系統上運行的所有應用程序，但是新一代白名單產品能夠識別這些應用程序。

T-Mobile公司首席信息安全官Bill Boni表示，安全專家必須現實地面對這個威脅，這意味著評估如何管理數據泄漏如何遏制這種攻擊。

你能夠檢測到高級持續攻擊滲透并不意味著你就能夠抓住真正的的攻擊者，或者說能夠找到多有數據泄露的證據，“你最重要的資源時什么?我們如何確保我們部署了訪問控制、日志記錄和監測，以及對滲出的控制?”他表示。

“我們知道安全一直都有點軍備競賽的意味。我們所面臨的挑戰是確保你的企業處于競賽之中，”Boni表示，“五年前必要的安全技術：防火墻、殺毒軟件和入侵防御仍然都是必要的，但是并不足以抵抗目前針對企業的攻擊。你需要不斷升級你的工具來跟上新威脅的步伐。”

即使你結合了安全和監測工具的最佳組合，也永遠不要低估高級持續攻擊的危害。這種攻擊通常是資金充足、由民族國家集團發起的，他們想要從受害者獲取盡可能多的信息，或者處于金錢或者競爭力的驅使。“你不會知道攻擊者是如何規避你的防御，”RSA的Schwartz表示，“你必須假設他們擁有與你相當的資源，并且他們具有創造性和專業技能。”