APT的發展已經到了一個轉變的時候，現在的APT攻擊與當年首次被發現時有了許多的不同。APT2.0時代情勢已然轉變、防御怎能還一成不變。

在趨勢科技CloudSec2015網絡安全大會上，趨勢科技全球研究開發部資深研究員翁世豪表示，對抗APT要有長期抗戰的準備，要有專業的人員支撐。

在與APT多年的交鋒中人們發現，APT攻擊精準具有針對性、重質不重量、持久、安靜。也就是說，哪怕APT攻擊已然發生但大多數受害者卻還毫無察覺。

而今，曾經利用可執行文件發起的APT攻擊模式早已經被替代，Office文檔漏洞、Adobe漏洞等等讓駭客們發現，原來攻擊還可以這樣發起，“好簡單啊，這些人這么好被騙”。很不幸的是，這里的“這些人”包含絕大多數的網友。

駭客發起的APT攻擊主要分為三個階段：攻擊階段、控制階段、活動階段。在攻擊階段，駭客往往還處于企業外網，內部信息面臨被盜取的威脅還很遠。當APT攻擊進入了控制階段和活動階段，就意味著企業內部信息對于駭客們而言已經唾手可得。人們總是希望能夠遠離危險，試圖將APT攻擊阻擋在企業內網與外網邊界之外，將其消滅在攻擊發起之初。但新型惡意攻擊技術、越來越多被發現的零日漏洞、移動化等等，使得駭客們在攻擊階段占據了更多的優勢。

所以，當企業很久沒收到惡意郵件時不要高興，這很可能意味著APT攻擊已經成功進入企業網絡內部并處于潛伏期，“現在APT的主戰場已經從企業網絡邊界轉移到企業網絡內部。”

面對APT2.0，安全防御者們真的就束手無策了么？答案當然是“不”！小偷已經開始在墻角打洞，我們卻還在門口防守，那肯定沒有效果。所以現在是時候將你的目光轉向“墻角”，換個思路了。

對于APT的攻擊防護，人們向來會建立起多道安全防線，只是早期攻防的主戰場并不是內網。而如今，則需要構建起以“威脅來自內網成員”為前提的隔離防護架構，加強對內網活動的監控，必須知道內網成員的所有動作。定期進行網絡安全檢測，找出一切潛藏的威脅，防微杜漸。另外，以惡意程序為中心的事件處理或者檢測方式還遠遠不夠，因為攻擊者還可能通過控制合法的程序來實施攻擊。

企業網絡邊界防護，據敵御外是基礎的安全防護。現在還要增強對內部網絡的細微監控，要像大偵探福爾摩斯那般對任何安全事件都予以足夠的重視，觀察入微、善于關聯分析，從蛛絲馬跡的內網異常中發現惡意攻擊的蹤跡。

在APT2.0時代，企業內網需要專業的安全分析人員，或者能夠起到相同作用的大數據分析平臺等APT防護技術手段。在APT攻擊的第二階段與其展開拼殺，先期于惡意攻擊者發現、獲取企業高價值信息前將其捕獲。

還要記住，“當發生安全事件時，要冷靜，因為這往往也是轉機的到來”。此時攻擊已經暴露，防御者可以藉此展開安全檢測，實施更為有效的防護動作，甚至探本溯源斬草除根。

APT2.0時代，企業內部不僅需要有網絡警察，還需要有網絡安全偵探，共同應對來勢洶洶的新型APT攻擊。