四、 APT专家选型观点

　　对于企业而言，APT攻击可能是他们的噩梦，因为企业很难做到阻止。应对APT攻击通常需要企业有明确的响应和恢复计划，从而来减少不必要的损害和损失，因为一旦发现APT活动，这通常意味着已经为时已晚。

　　Fortinet中国首席技术顾问谭杰谈到，APT攻击本身就是结合了多种入侵技术的复杂攻击方法，因此一个有效的APT攻击防御方案应该包括多个方面，如多重网络安全防御、未知恶意代码识别与过滤、大数据安全、主机和数据安全加固等，这样才能完整地覆盖APT的生命周期，尽可能降低方方面面的风险。

　　启明星辰威胁与技术研究中心安全研究部经理陈亘表示，对于企业防范类似的APT攻击，要力争做到“进不来、出不去、看不懂、拿不走、跑不掉”。首先努力使恶意代码和非授权访问无法进入内部网络，即使主机被攻陷那也使得被攻陷主机无法与外界联系，攻击者获取的数据都是加密的，即使取得数据的访问权限也无法输送到外网，还要对攻击行为进行审计，可以追溯到攻击源。

　　趋势科技中国区产品经理蒋世琪谈到，对APT威胁进行侦测和控制的过程可能非常耗时，企业可以先专注两个方面来将损害降到最低程度，同时也让事件调查可以尽可能的快速和成功：一是企业要执行适当的记录政策，将网络分割，并通过威胁发现设备来加强安全威胁检测和对关键资料的保护;二是企业要有已经受过训练和运作正常的威胁情报小组和事件调查小组。

　　绿盟科技产品经理韩志立认为，网络攻防之间的对抗是永恒的，安全厂商提出了一种防御手段，黑客就会尝试破解或者绕过，就如微软提出了DEP防护溢出攻击，黑客就会用ROP来应对。因此对于重要的业务系统，纵深的多重防御是非常必要的。现今很多产品都具备较强的应用控制能力，用户可以利用设备这方面的功能，进行更精细的策略控制，限制不必要的访问特别是外出连接。这样可以减少接触鱼叉式钓鱼攻击或水坑式攻击的机会，同时也有可能阻截、发现一些未知木马隐蔽信道的通信。

　　迈克菲北亚区技术总监郑林谈到，企业如果在没有专业的APT防护体系下，则需要更加认真地对现有安全体系进行运维。比如针对可疑的网络活动、关键设备日志进行详细的分析和跟踪，及时对安全设备和软件进行升级等等。此外，最终用户的安全意识教育也非常重要。

　　科来软件CEO罗鹰谈到，虽然很多安全厂家都推出了APT产品，也有自己的沙箱技术，但仔细比较一下，就会发现其区别非常大。对于APT安全产品来讲，业内公认的三种技术：沙箱技术、Shellcode检测技术、静态查杀技术。另外，无论是APT攻击还是传统的安全威胁，用户关心的是减少损失，一个好的APT监控平台，应该做到事前，事中，事后的侦测发现能力，除了做到预警和警报，更重要是能做到防御和控制。这要求具有未知恶意样本的发现能力，对溢出攻击，0day漏洞利用的检查能力，即便攻击成功，也要具有对木马管控通讯和心跳的发现能力，并能快速阻断和拦截相应的数据。