高级持续威胁(APT)攻击，这种类型的攻击并不是无法发现，事实上，这算是企业管理员比较容易发现的。然而，高级持续威胁非常难以从网络中消除，即便完全消除，也会对企业效益造成严重影响，并且会让企业环境受到更多的攻击。虽然每一个高级持续威胁的案例都很独特，但本文将为大家提供几个打压这种威胁的一般方法。发现和消除(或者说至少是减少)APT攻击需要谨慎小心和周密隐蔽的规划，以免打草惊蛇，让攻击者反咬一口。

　　为企业治理行动进行全面准备

　　如果你是IT管理员，你需要与IT高级管理层沟通高级持续威胁的问题，并且提出解决问题的初步计划，这往往会发展成向所有的高级管理人员讲解，包括董事会、监管机构、合作伙伴、供应商等。让高层管理来决定哪些人何时应该知道这个问题。

　　第一个主要的技术响应应该是在网络中部署更多的检测，你需要找出APT问题的严重性。哪些计算机被感染?密码是否已经泄漏?使用了哪些工具和恶意软件?电子邮件被破坏了吗?数据都流向哪里呢?内部和外部?至少，检测APT通常意味着部署主机和网络入侵检测软件。

　　接下来，你需要确定处理问题的非常好的方法。你可以选择立即从网络中移除每一个被感染的计算机。你可能开始会允许这些系统继续运行以免APT攻击者意识到他们已经被发现。这对于每个公司来说，都要进行不同的风险判断。

　　然后，邀请整治参与者，并且做一个消除APT计划。你的网络安全团队应该包括技术人员、高级管理人员代表、供应商专家、ATP专家、受影响的业务部门团队领导、信息组、项目经理和需要参与进来的其他人员。在一般情况下，从小处着手，并且尽可能多的让必要的人员参与。所有参与的人员都需要签署一份保密协议，即使已经跟公司签署过一份。你需要确保在正式的计划部署以前，这项行动不会被其他不必要的人员知道。

　　将APT和整治行动命名为“棒球游戏”或者“旅游计划”等，以用于参与者之间的沟通，以免引起ATP攻击者不必要的注意。

　　想要摆脱高级持续威胁并不难，但是想要在不造成业务中断的情况下来实现根除ATP则是困难的部分。为此，在你在网络范围内执行大规模清理整治行动之前，应该对所有应用程序和服务编制详细目录。分配责任，也就是确定谁负责回答关于每个资源部分的问题，以及保持运行工作等。记录那些用户和服务帐户对于保持业务功能是必要的。

　　此外，确定威胁程度：哪些应用程序和服务在停机的时候必须保持运行?高层管理层能接受的最坏情况是什么?在最近一个实例中，不可接受的事情就是公共财务报表的迟交，但是其他一切行为都被认为是合理的。其他公司则对关键业务应用程序可接受的停机时间进行了界定。

　　下一步，对用户、计算机、服务帐户、网络设备和互联网连接点进行详细记录。有多少数量?它们在什么位置?制定围绕这些问题的生命周期管理政策和程序，从创建和所有权到删除(不再需要后)。

　　大多数环境都有太多对象，缺乏明确的所有权，并且无法确定在现有的项目中，哪些是合理的或者是必要的。我们需要打破这个恶性循环，删除不必要的对象，例如，企业通常都会减少网络环境中大量被提升权限的帐户。这在整治期间是很有效的方法，但是从长期来看，如何能够保持?

　　最后，在整治之前，确保系统安装了最新修复程序，这对于彻底摆脱高级持续威胁是否游泳。此外，对你的网络、广域网以及最重要的基础设施系统进行健康检查，确保在整治开始之前，网络和环境处于最高效率的运行状况。