如何抵御高級持續威脅呢?筆者的建議是：做更好的補丁修復和使用白名單。通過這兩種方法，大多數可以減少99%的惡意攻擊風險。

但是很少有企業這樣做，大多數企業都專注于其他事物上。例如，他們計劃創建一個高度安全的網絡。

他們是這樣做的：首先整理所有服務，確定哪些服務是最重要的，然后盡全力保護這些資產。這些資產包括關鍵任務型應用程序或者服務，支持它們(Active Directory、DNS、用戶賬戶、服務賬戶、網絡設備等)的服務器和基礎設施，以及連接到這些應用程序或服務的所有工作站。

這種辦法的關鍵在于以較高水平保護關鍵資產。問題是如何實現這一點，以及我們需要建立多少這樣的網絡。

對于大多數APT攻擊，攻擊者會破壞Active Directory域控制器，獲得所有密碼哈希，然后使用傳遞哈希工具來獲得網絡的完全控制權。大多數企業想要創建一個或多個獨立的額外的網絡，這樣單個域控制器受到攻擊而不會威脅所有企業資產。

現在進入高度安全區域

這種獨立的高度安全的網絡并不是新鮮事物，很多公司至少都有一個這樣的網絡，每個軍隊都有多個高度安全的網絡。在過去二十年中，大多數企業都在想辦法整合多個網絡到更少的網絡，來降低成本和管理開銷。新的APT趨勢(APT已經滲透企業五到十年之久)正在讓企業高管重新考慮以前的整合趨勢。

這是一個好事情。在域管理員組不設置任何永久性成員，這是成功的躲過哈希攻擊的先決條件。但如果你不能做到這一點，你可以創建多個安全域來降低風險。

如果你的公司正在考慮增加更多網絡，你必須先確定你需要多少個安全域。很多公司決定建立一個新的單一的高度安全的網絡，并把所有關鍵任務型服務器放在里面。筆者很喜歡這種模式，因為你能夠得到更多的安全性，同時減少因管理太多網絡的開銷?？傮w思路是，如果你的所有關鍵任務服務器都是關鍵任務型服務器，它們應該部署相同的安全策略，并且在同一安全域中管理。

如果你決定只建立一個新的超安全網絡，你必須確保攻擊者之前的攻擊方式不能入侵這個網絡。否則，建立這種網絡將沒有任何意義。為了獲得最大的安全性，你可以部署物理隔離的網絡，并且不連接到互聯網。

大多數公司可能想要高度安全的獨立的網絡，但他們負擔不起運行單獨電纜或者無線接入點的成本和精力。一個很好的辦法是使用獨立的VLAN，雖然VLAN隔離可能被攻擊，但在現實世界中這很少發生。#p#

你想要怎樣的獨立程度?

如果你想要創建一個或者多個新的獨立的網絡，另一個大問題是你將如何配置和取消配置用戶、設備和其他資源。

對于單個網絡，配置通常被標記為人力資源系統。當一名員工被聘請時，這會涉及添加這名新員工的用戶帳號到域的手動或自動過程。如果這個過程是自動化的，信任根系統應該位于哪里?

例如，如果你把你的信任根系統放在原來網絡(可能已經受到感染)，它能否配置服務到新的高度安全的網絡?這安全嗎?答案是否定的。你可以信任從較高完整性和保障的系統提供數據到低完整性的系統，但反過來就不行了。

在現實中，大多數企業沒有選擇。不過，他們有兩個次優的選擇：他們要么允許不受信任的根系統來配置新網絡—這可能受到攻擊，要么他們為每個新的網絡部署新的根系統，這非常昂貴并且難以維持。

事實上，每個額外的網絡都需要做出這樣的決定。新網絡是使用來自現有網絡的一個還是多個服務，還是只能完全依賴于新的服務?運行任何網絡必須的服務包括配置、服務臺、安全、事件相應、審計、PKI、電子郵件、打印等。

在確定了哪些來自現有網絡的服務需要用于新網絡后，大多數企業可能會考慮增加新的組，但隨后他們會意識到創建真正獨立的網絡比想像中更困難。#p#

現實世界攻擊

一般來說，企業最終會創建一種模式，其中共享服務要么保留在現有安全域名中，要么位于這個獨立的新網絡中，與所有其他網絡共享。他們還可能創建一個混合的網絡：一些網絡具有共享服務，而另一些網絡則沒有。

筆者只看到了少數公司決定在每個新網絡復制服務?？偠灾?，這種決定并不容易，這是IT部門需要做出的最艱難的決定之一。

是否部署一個或者多個新網絡域名，這取決于每個公司，及其文化和風險承受能力。這個問題并沒有標準答案。從你自己的企業的需求來考慮這個問題，仔細權衡利與弊。你也可以選擇事后再更改設計。事實上，從最初的嘗試中你可以得出經驗教訓來做出適當的修改。

如果你問筆者，你不想花所有時間來創建超級安全的網絡，而是專注于企業可能受到攻擊的薄弱環節，并且加強防御來抵御攻擊。這樣，你將真正保護你的企業。

畢竟，創造一個安全的網絡需要大量的時間和精力，你需要大量的重復勞動。為什么不將這些時間和精力用來加強現有網絡的防御呢?(鄒錚編譯)