3、了解APT攻击链

这是用来描述APT攻击阶段的模型，这些阶段包括侦察、武器化、交付、漏洞利用、安装、命令&控制和行动(这部分内容请参考：从侦查到破敌 APT攻击过程全揭密)。这基本上类似于入室盗窃，小偷在行窃前，会对建筑物进行侦察等活动。

显然，企业在越早期阶段检测到攻击，就越可能阻止攻击。理解和分析这些杀伤链是关键，可以帮助企业在必要阶段部署适当的防御控制。

4、寻找感染指标(IOC)

这与理解“APT攻击链”有关联。没有企业可以阻止所有攻击，因此，IT团队需要知道如何寻找异常活动。这包括寻找APT可能与网络外部通信的独特方式，任何奇怪的DNS查询或联络网站都是厂家的IOC。

APT通常会根据其寻求自定义工具，而这通常为IT提供了区分APT与正常流量的因素。他们通常会使用各种常见应用程序，例如远程桌面应用程序、代理或加密通道来通信。

这些应用程序和其他应用程序的不寻常使用都是找出APT的关键。当然，这需要IT完全了解网络正常情况是什么样。另外，追踪用户异常行为也可以有所帮助。

5、测试你的网络

这可以包括主动分析或沙箱技术。确定事物是否为恶意的最佳方法是实际运行它，看看它的行为是否为恶意。

虽然企业有漏洞管理工具来帮助修复明显的漏洞，但企业也应该定期进行自我网络的攻击测试(或者寻找第三方)来找出问题所在。

6、提供更多关于APT的培训

Booz Allen Hamilton公司网络安全分析师Edwin Covert表示，企业需要一个新的培训模式，来培养APT猎人，因为信息安全专家的标准技巧显然不足以能够对抗APT。

他表示，“对抗APT需要能够看清楚事物的能力，CISSP(认证信息系统安全专家)是针对技术经理，而不是APT猎人。”

APT猎人需要能够发现大多数管理员或者甚至安全人员看不到的异常文件。目前，业界对于APT防护的人才需求供不应求。企业需要至少3万名APT防护方面的专家，但只有1000到2000人具有对抗现实世界APT攻击的必要技能。

(责任编辑：)