APT攻擊改變了當(dāng)前的威脅形勢，已經(jīng)不可能再提前進(jìn)行預(yù)防，我們必須假設(shè)自己將受到威脅。隨著這一心理模式的轉(zhuǎn)變，我們也必須重新制定安全策略。

1、是否轉(zhuǎn)變了防御觀念

APT攻擊是否有“幫手”呢?答案是肯定的，這個幫手就是我們自己的固化的想法：“外圍的一切都是危險(xiǎn)的，內(nèi)部的一切都是安全的。”但這種基于外圍防御的安全策略早已過時(shí)，因?yàn)楣粽咴絹碓浇苹褂酶鞣N方法穿過這些防御。另外，如果你已經(jīng)仔細(xì)閱讀或者從其他途徑了解過一些APT攻擊案例，便可以發(fā)現(xiàn)，最近的數(shù)據(jù)泄露事件已證明，盡管注重外圍的新一代防火墻/IPS不斷演進(jìn)，卻都無法著眼于內(nèi)部網(wǎng)絡(luò)的APT攻擊檢測。但即使攻擊者再如何隱藏，他們要想竊取高價(jià)值得數(shù)據(jù)，并需要在網(wǎng)絡(luò)中有所行動，這些蛛絲馬跡可以在“橫向移動”中被發(fā)現(xiàn)。

2、是否清楚APT攻擊鏈和防護(hù)點(diǎn)

IT安全威脅越來越大，迫使許多企業(yè)只好拼命追趕，以應(yīng)對最新的安全威脅，這早已不是什么秘密。但沒有什么比APT攻擊更讓人憂心忡忡的了，它甚至可以讓一名CEO下臺，讓一家企業(yè)失去用戶的信任，或是花費(fèi)數(shù)億美金才能修復(fù)破壞。那么，損失慘重的數(shù)據(jù)泄露事件又是怎么發(fā)生的呢?

這是每家企業(yè)的信息安全主管思考的問題，他們必須全面了解APT攻擊的生命周期，以及每個階段呈現(xiàn)的特點(diǎn)，從這個鏈條中找到防護(hù)點(diǎn)。如果你已經(jīng)清楚了APT攻擊的過程，那么可以針對這些能力進(jìn)行系統(tǒng)的評估：

a) 現(xiàn)有的防護(hù)設(shè)備能否檢測到攻擊?

b) 能否抓取攻擊特征進(jìn)行系統(tǒng)且全面的分析?

c) 能否通過策略調(diào)整避免遭受攻擊?

d) 能否在最快的時(shí)間，有效阻止正在進(jìn)行的攻擊?

e) 如果攻擊已經(jīng)發(fā)送，能否降低損失，或者讓攻擊者決定耗費(fèi)如此大的精力，竊取回來的數(shù)據(jù)可能不值幾個錢?

f) 能否誘騙攻擊者進(jìn)入內(nèi)部設(shè)定好的蜜罐網(wǎng)絡(luò)?

g) 能否追蹤攻擊者，并最終摧毀?