致命一击：快速有力地打击攻击者

　　整治日应该很早之前就进行规划。有一个明确的行之有效的步骤，并且列明时间表和责任分配。每个人都应该知道自己在做什么以及何时进行。最起码，整治日通常都是从断开企业网络与互联网的连接开始的，这样APT攻击者将不能作出反应和控制正在发生的事情。

　　将所有已知的APT系统离线并且进行全面重建。更改所有的帐号密码，包括服务帐户等。考虑对权限较高的帐户进行双因素身份验证。使用新的身份验证证书测试所有关键任务应用程序和服务。有些公司竟然还完全重建他们的LDAP/Active Directory基础设施，这真的是明显减小ATP风险和再开发的唯一方法。

　　有些公司建立新的基础设施，有些则慢慢地进行迁移，前一种方法比后一种方法要安全，但是后者更加容易同时确保业务操作的流畅性。

　　在允许用户使用新的密码重返网络之前，要求所有用户学习关于高级持续威胁以及目前流行的恶意软件技巧(如恶意的PDF、假冒防毒软件和社会工程学)的知识。可以告知员工APT整治行动或者简单地告诉他们新密码是企业为了减小安全风险的新方法，这取决于高层管理。

　　不要对高级持续威胁放松警惕

　　员工和管理层应该要警惕APT攻击者可能通过他们的老据点卷土重来，整治行动后的最初几天是风险最高的时期。

　　笔者个人很喜欢计算机和域名隔离。大多数工作站不需要与其他工作站通信，并且大多数服务器不需要与其他服务器通信。确定需要那些通信路径，然后将其他路径阻止。使用最快最笨的设备/服务来完成这个任务。只有当必要的时候才使用智能(但更慢)应用程序级防火墙和代理服务器。

　　确保内部开发团队正在使用安全的开发生命周期技术。此外，部署全面的事件日志管理系统、检测和响应。大多数恶意行为都会被发现，如果事件日志配置正确和审查的话。

　　展望未来，查找不常见的网络通信模式。这通常是APT攻击者留下的第一个踪迹，他们是这样做的：窃取信息，将信息转移到你通常不会发送数据的位置。

　　最后，考虑部署一个或者多个预警蜜罐(honeypot)，它们都很便宜、低噪音，并且可以很好地部署在任何网络的非常好的检测设备间。攻击者为了利用网络，他们必须接触计算机。蜜罐是非生产性资产，因此，在最初的微调后，不可能被触碰。

　　综上所述，减小和消除高级持续性威胁是所有公司所面临的最艰难的挑战。如果你受到高层管理人员、业务主管和财务考虑的限制，完全摆脱这些入侵者非常困难。对于很多公司来说，最普遍的做法就是与高级持续性威胁永远和平共处，但是如果愿意的话，其实任何公司都可以打一个漂亮仗。