如何防范APT？

　　防范是理想举措，而检测则是必要的。多数机构仅仅重视防范措施，对于 APT 而言，它是伪装成合法流量侵入网络的，很难加以分辨，因此防范效果甚微。只有攻击数据包进入网络内部，破坏和攻击才开始实施。

　　针对APT这种新的攻击媒介，以下是防范此类威胁的必要措施：

　　1)控制用户并增强安全意识——一条通用法则是：你不能阻止愚蠢行为发生，但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险，这是一项需要长期坚持的措施。

　　2)对行为进行信誉评级——传统安全解决方案采用的是判断行为“好”或“坏”、进而“允许”或“拦截”之类的策略。不过，随着高级攻击日益增多，这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络，得逞后再实施破坏。由于攻击者的目标是先混入系统，因此，需要对行为进行跟踪，并对行为进行信誉评级，以确定其是否合法。

　　3)重视传出流量——传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑，这对于截获某些攻击还是有效的，而对于 APT，传出流量则更具危险性。如果意在拦截数据和信息的外泄，监控传出流量是检测异常行为的有效途径。

　　4)了解不断变化的威胁——对于您不了解的东西很难做到真正有效的防范。因此，有效防范的唯一途径是对攻击威胁有深入了解，做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩，将不能做到根据威胁状况有效调整防范措施。

　　5)管理终端——攻击者可能只是将侵入网络作为一个切入点，他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险，控制和锁定终端将是一项长期有效的机构安全保护措施。

　　如今的威胁更加高级、更具持续性、更加隐匿，同时主要以数据为目标，因此，机构必须部署有效的防护措施加以应对。

　　总结

　　今后一段时期，APT将会越来越频繁的出现。忽视这一问题意味着您的机构将面临着威胁破坏的风险。应对APT的核心要务是要“了解系统/网络”。越了解网络流量和服务，越能更好的确定/识别异常行为，进而能更好的防范APT。

　　确保机构得到适当保护的有效方法是运行模拟攻击(例如，入侵测试、红队和伦理黑客攻击)，以了解组织的漏洞状况。最为重要的是，如何快速检测漏洞。确保成功的关键要素是：

　　1)切记一定获得明确批准

　　2)运行良性攻击

　　3) 确保执行测试的人员具备等同于真正黑客的专业技术水平

　　4)及时修复漏洞