不久前，美國某主要電子元器件分銷商的IT安全分析師發(fā)現(xiàn)了一些特殊的網(wǎng)絡(luò)活動。該分析師評估了Netflow網(wǎng)絡(luò)流量數(shù)據(jù)，并確定某個人或者某個物體當(dāng)時正在制定對大量IP地址的定期掃描。這名不愿意透露姓名的分析師表示：“我們遭到攻擊了。在我們的一個倉庫中，發(fā)現(xiàn)很多系統(tǒng)被感染，甚至我們的管理網(wǎng)絡(luò)也被感染了。”

攻擊者在該公司的網(wǎng)絡(luò)中至少“潛伏”了6個星期，很多端點和服務(wù)器都受到感染。雖然該分析師表示他相信現(xiàn)在惡意軟件已經(jīng)被清除，并且攻擊者也已經(jīng)撤離，但他并不清楚攻擊是如何發(fā)生的。“讓人頭疼的是，我們不知道這種攻擊的初始時間，”他表示，“他們可能仍然潛伏在我們網(wǎng)絡(luò)中的某個地方。”

這種攻擊同時具有常見的和不常見的特性。常見之處在于，感染了這么久都未被發(fā)現(xiàn)。不常見之處在于，該公司安全團隊自己發(fā)現(xiàn)了這個攻擊。根據(jù)2012年Verizon數(shù)據(jù)泄露調(diào)查報告（DBIR）顯示，很多數(shù)據(jù)泄露在很長時間內(nèi)都未被發(fā)現(xiàn)，90%的感染企業(yè)通過第三方發(fā)現(xiàn)泄漏事故，而不是自己發(fā)現(xiàn)。

來到自定義惡意軟件攻擊的世界，在這個世界，攻擊者（在必要時）使用通用且廣泛使用的攻擊代碼作為基石，制作自定義惡意軟件來偷偷潛入企業(yè)內(nèi)部。“這難以量化，”IANS研究高級副總裁兼首席技術(shù)官David Shackleford表示，“但現(xiàn)在越來越多的攻擊使用自定義惡意軟件。”

根據(jù)很多未經(jīng)實證研究的證據(jù)顯示，幾乎每天都會涌現(xiàn)出一個新的有針對性的零日攻擊。此外，CounterTack公司在8月份對有針對性攻擊的調(diào)查顯示，在100名接收調(diào)查的信息安全管理人員中，超過一半的人表示他們的企業(yè)在過去12個月中成為攻擊目標(biāo)。

SANS研究所資深教授Lenny Zeltser表示，也許，自定義惡意軟件攻擊（或者說一般攻擊）如此成功的原因在于我們將全部焦點放在了惡意軟件上。“我們經(jīng)常專注于攻擊的惡意軟件組件，也許是因為惡意軟件被發(fā)現(xiàn)后，它是我們可以看到和進行分析的有形的東西，”Zeltser表示，“我們應(yīng)該從更大的范圍來考慮攻擊事件：自定義惡意軟件通常只是針對性攻擊的一部分，攻擊者試圖通過針對性攻擊來實現(xiàn)一個目標(biāo)。”

Zeltser表示，最佳防御方法在于，企業(yè)應(yīng)該檢查攻擊的生命周期的所有方面，避免圍著惡意軟件打轉(zhuǎn)。這種重新定位包括側(cè)重檢測能力和事件響應(yīng)能力。這種方法看似很簡單，但這并不意味著它很容易執(zhí)行。為了打擊自定義惡意軟件，企業(yè)不僅需要重新考慮他們用于保護其系統(tǒng)的技術(shù)，也要重新思考已經(jīng)部署的程序。

在接受SearchSecurity.com采訪時，反惡意軟件廠商卡巴斯基首席執(zhí)行官兼聯(lián)合創(chuàng)始人Eugene Kaspersky表示，企業(yè)必須提高攻擊者繞過其防御的復(fù)雜度和成本。他提到了著名的Stuxnet木馬攻擊，據(jù)稱該病毒侵入了伊朗納坦茲提煉設(shè)施中完全斷開的網(wǎng)絡(luò)，這說明即使是完全隔絕的網(wǎng)絡(luò)，都難以杜絕病毒攻擊。

為了抵御針對性的惡意軟件攻擊，Kaspersky認(rèn)為，應(yīng)用白名單也是個可行的辦法。“如果某個應(yīng)用做了它不應(yīng)該做的事情，它將立即通過默認(rèn)拒絕被阻止，”他表示，“如果你創(chuàng)建一個默認(rèn)環(huán)境，只有白名單中的應(yīng)用可以在環(huán)境中運行，你將能夠阻止任何復(fù)雜的惡意應(yīng)用的運行。”

Spire Security公司研究主管Pete Lindstrom也表示，白名單（或者說應(yīng)用控制）是重要的防御方法，但并不是完全的解決方案。他表示：“這種方法并不總是行得通，因為環(huán)境會變化，一些環(huán)境甚至經(jīng)常會改變。為了抵御針對性攻擊，企業(yè)需要保持審慎的態(tài)度，而不要被嚇到了。”

出于這種審慎的態(tài)度，企業(yè)應(yīng)該具備一個事件響應(yīng)團隊和有效的取證調(diào)查能力。根據(jù)Zeltser表示，一旦確定了自定義惡意軟件，企業(yè)應(yīng)該檢查該惡意軟件以及它所處的環(huán)境，以了解攻擊事件的嚴(yán)重性。他還表示，企業(yè)需要通過了解被攻擊系統(tǒng)的性質(zhì)以及他們處理的數(shù)據(jù)、惡意軟件的能力以及惡意軟件使用的方式，來確定攻擊者的潛在目標(biāo)。Zeltser表示：“取證分析幫助企業(yè)確定如何遏制攻擊者在企業(yè)內(nèi)的影響，清除惡意軟件，并最終恢復(fù)。”