先進的持續性威脅(APT)已經成為所有組織的合理關注點。APT是威脅行為者，會破壞網絡和基礎架構，并在很長一段時間內潛伏在其中。他們通常執行復雜的駭客攻擊，使他們能夠竊取或破壞數據和資源。

據埃森哲公司稱，APT一直在組織自己，以使他們能夠共享戰術和工具以進行大規模攻擊。例如，據報道，俄羅斯的Silence APT集團正在積極瞄準金融機構，并成功地從全球各家銀行盜竊了數百萬美元。

[[287352]]

較小的組織也需要警惕此類威脅。APT小組還使用自動化工具和僵尸網絡來訪問網絡，并且這些策略不會根據規模，行業或價值進行區分。

任何易受攻擊的基礎架構都可能被破壞。現在，對于所有組織來說，了解APT的運行方式和實施必要的安全措施以減輕威脅的程度至關重要。

APT可能潛伏的跡象

APT的運行是秘密的，因此組織可能甚至在真正出問題之前都沒有意識到它們已被破壞。例如，InfoTrax Systems在其服務器的存儲空間已用完之后，只能檢測到長達數年的漏洞。

IT團隊必須注意APT可能潛伏在網絡中的跡象。

一些明顯的跡象：

• 過多的登錄 -APT通常依賴于受到破壞的訪問憑據來獲得對網絡的常規訪問。他們可以使用登錄名和密碼憑據轉儲進行暴力破解嘗試，也可以使用從社會工程學和網絡釣魚攻擊中竊取的合法憑據進行暴力破解。過多或可疑的登錄活動(尤其是在奇數小時)通常歸因于APT。
• 惡意軟件爆炸 -APT還使用各種惡意軟件來執行其黑客攻擊。因此，如果防病毒工具經常檢測并刪除惡意軟件，則APT可能會將木馬和遠程訪問工具不斷植入網絡。
• 計算資源的使用增加-威脅者還必須使用網絡的計算資源來進行攻擊。活動的惡意軟件將使用端點內的計算能力和內存。黑客還可能將其竊取的數據臨時存儲在服務器中。泄露大量數據也將顯示為過多的傳出流量。

加強監控

發現這些跡象并非易事，因此IT團隊必須積極尋找這些跡象。幸運的是，現代安全解決方案現在提供了使IT團隊能夠監視APT潛在存在及其活動的功能。

日志分析-日志可以準確顯示設備，系統和應用程序中發生的各種活動，事件和任務。瀏覽日志通常是無格式的純文本格式。

為了幫助IT團隊對信息進行分類，高級日志分析工具現在提供了可以在所有IT基礎架構組件中搜索模式的算法。

例如，日志管理和分析解決方案XpoLog，可以合并跨各種基礎架構組件的所有日志。Xpolog可以自動分析和標記這些日志文件中包含的信息。

然后，使用人工智能(AI)，Xpolog可以識別異常模式并生成見解，包括那些表明安全問題的見解。

諸如帶寬使用，登錄會話，網絡流量的地理分布之類的信息都可以用來揭示威脅的存在。所有數據甚至都可以可視化，以便于演示和查看。

必須改進防御

監視和及早發現是保持安全防御圈的關鍵。組織必須將這些努力整合為更廣泛的安全策略的一部分。

提高警惕性-主動分析日志并執行安全措施的常規測試可以使IT團隊了解APT的潛在存在，從而使他們能夠立即應對這些威脅。

采用企業級安全性-組織還必須使用功能強大的安全性解決方案。APT使用的惡意軟件可以具有一個多態代碼，從而使它們能夠逃避常見的免費或廉價的反惡意軟件解決方案。

保持系統和應用程序更新—APT針對其許多策略利用設備和系統的漏洞。開發人員會定期發布補丁和修復程序，以確保解決了關鍵漏洞。組織必須確保這些更新在可用時迅速應用。

培訓人員 -APT也可以嘗試通過社會工程攻擊來利用人的弱點。組織必須對員工進行最佳安全實踐培訓，包括準確識別網絡釣魚電子郵件和嘗試，使用強密碼短語以及避免密碼重用。

安全是一項投資

組織必須意識到，在當今環境中進行操作時，安全性是一項至關重要的投資。APT可能會對公司造成無法彌補的損害。遭受攻擊的受害者可能會導致停機，業務損失和客戶信任度下降。

估計平均安全漏洞造成的組織損失392萬美元。因此，對于公司而言，至關重要的是要采取能夠在造成嚴重損害之前檢測并減輕此類威脅的安全措施。因此，組織現在必須準備好轉移更多的資源來增強其安全性。