高級持久性威脅（APT）的發(fā)起者利用多種意想不到、時間敏感而且各不相同的攻擊向量來攻擊你的服務(wù)器。他們試圖長期訪問并控制您的IT基礎(chǔ)架構(gòu)，來達(dá)到自己的目的。這些是復(fù)雜、有針對性的攻擊威脅，不光所利用的技術(shù)和方法是如此，而且從長期以來人們?yōu)榭刂艫PT所做的巨大努力中也可見一斑。他們使用的初始攻擊向量易于修改而且動態(tài)多變，因此很難檢測到。他們采用的命令和控制（C&C）方法通常更具有一致性，因此更不易于修改，同時C&C流量可以是APT的有效識別點。在不影響公司正常運(yùn)轉(zhuǎn)的情況下，抵御所有APT是難度非常大的任務(wù)，因此更務(wù)實的做法是接受APT風(fēng)險始終存在這樣一個事實，然后在檢測到之后快速識別并予以糾正。

　　在嘗試識別、抵御和防止此類攻擊威脅時，我們的經(jīng)驗、知識和技術(shù)可幫助您做出有效的安全干預(yù)決策。如果缺乏對環(huán)境、實際網(wǎng)絡(luò)流量及內(nèi)容的全面了解，您只能憑空猜測，因此最終的決策可能對，也可能不對。出現(xiàn)APT安全問題時，企業(yè)通常會向網(wǎng)絡(luò)安全運(yùn)行專業(yè)人員施加壓力，要求他們快速解釋并解決問題。那么，在網(wǎng)絡(luò)中出現(xiàn)疑似APT安全威脅時，您做出反應(yīng)的速度有多快？更重要的是，在采取應(yīng)對措施時，您是否能夠確保所采取的措施正確、恰當(dāng)而有效，進(jìn)而最大限度地提高成功幾率？

　　首先，讓我們想想與安全分析相關(guān)的人力要求。負(fù)責(zé)應(yīng)對安全事件的人需要使用現(xiàn)有的工具來精確而快速地解釋收集到的數(shù)據(jù)，他們必須全面了解網(wǎng)絡(luò)拓?fù)洌�具有豐富的經(jīng)驗并了解網(wǎng)絡(luò)事件的背景，這是采取正確措施應(yīng)對安全事件的基礎(chǔ)。要全面測試并記錄應(yīng)用使用網(wǎng)絡(luò)的方式，最好在逐個交易的基礎(chǔ)上了解應(yīng)用如何在生產(chǎn)網(wǎng)絡(luò)中運(yùn)行。對于那些擁有所需資源的人來說，這些條件可通過實時監(jiān)控參考網(wǎng)絡(luò)或調(diào)試網(wǎng)絡(luò)達(dá)到。在這種方法不實用的情況下，來自生產(chǎn)網(wǎng)絡(luò)的實際運(yùn)行數(shù)據(jù)就是接下來最好的方法，雖然人們認(rèn)識到生產(chǎn)環(huán)境的運(yùn)行情況更不易于預(yù)測。掌握了有關(guān)任何網(wǎng)絡(luò)中連接的真實統(tǒng)計和分析數(shù)據(jù)之后，就可以更輕松地發(fā)現(xiàn)實際數(shù)據(jù)與標(biāo)準(zhǔn)值的出入。自動化監(jiān)控工具可幫助發(fā)現(xiàn)實際數(shù)據(jù)與標(biāo)準(zhǔn)值的差別。最后一個問題是要確保為安全團(tuán)隊配備有效的工作流程，這正成為在協(xié)作和任務(wù)交接過程中，減少人為延誤和團(tuán)隊成員間溝通不暢的重要步驟。

　　接下來，我們需要收集與可疑網(wǎng)絡(luò)事件相關(guān)的證據(jù)。捕獲到的數(shù)據(jù)可為您提供有關(guān)網(wǎng)絡(luò)中所發(fā)生事件的不可辯駁的有力證據(jù)。在關(guān)注的事件之前、期間和之后對網(wǎng)絡(luò)流量進(jìn)行深入調(diào)查分析，可幫助您掌握全面信息，全面了解所發(fā)生的情況，使您可以進(jìn)行正確的干預(yù)并增加有效解決問題的概率。根據(jù)您網(wǎng)絡(luò)的大小和可用的資源，捕獲流量、編制索引、搜索和調(diào)用流量的方法在成本和復(fù)雜性方面可能相差很多：從PC上臨時部署的簡單開源軟件到整個網(wǎng)絡(luò)中分布的高性能、高保真而且能夠以10萬兆以太網(wǎng)鏈路帶寬持續(xù)運(yùn)行的專用智能網(wǎng)絡(luò)記錄（Intelligent Network Recording）架構(gòu)。

　　但是，光靠人的能力和可靠的數(shù)據(jù)，還不足以提供迅速作出響應(yīng)所需的全面信息和洞察力。若要正確地解碼數(shù)據(jù)包，并獲得可作為行動依據(jù)的信息，您還需要適當(dāng)?shù)姆治龉ぞ摺Ｄ承┓治龊皖A(yù)警工具可獨立運(yùn)行，對于自動運(yùn)行一些流程非常有用，但只限于以一種方式解釋數(shù)據(jù)，通常依賴攻擊特征和分析數(shù)據(jù)，因此我們有時候不能理所當(dāng)然地指望用它們捕獲所有安全威脅。與此同時，它們可能會針對非安全相關(guān)事件和流量發(fā)出誤報。然而，在幫助企業(yè)確保總體安全性方面，他們確實扮演著重要角色，而且可更廣泛地檢測數(shù)量更大、“更易于理解”的安全威脅。然而想想APT，您應(yīng)該知道它們本身是量身打造的獨一無二的威脅，因此光靠自動分析不足以有效解決。因此還需要事后分析工具，幫助安全分析人員處理并重復(fù)分析捕獲的數(shù)據(jù)，幫助他們更有信心地做出決策。

　　一開始，安全團(tuán)隊始終應(yīng)檢查并確認(rèn)是否配備了適當(dāng)?shù)墓ぞ撸�可以有效地完成自己的工作。在利用收集的�?shù)據(jù)包了解所發(fā)生的情況，并做出正確的干預(yù)操作之前，可利用以下問題來檢查您當(dāng)前的能力水平：

• 捕獲與網(wǎng)絡(luò)中特定事件相關(guān)的數(shù)據(jù)包需要多長時間？
• 我是否掌握了必要的技能來分析這些數(shù)據(jù)包？
• 我如何對比可能有害的惡意連接和已知的安全連接？

　　對這些問題的回答將幫助發(fā)現(xiàn)您在任何技能、培訓(xùn)和技術(shù)能力方面的不足之處。

　　通過部署專用的在線APT安全設(shè)備進(jìn)行自動APT檢測、預(yù)警和防護(hù)，在保護(hù)安全方面扮演著重要角色，而且目前市場上提供了很多不錯的選擇。然而，面對如此狡猾而且動態(tài)多變的威脅時，沉浸在假想的安全性之中是一件很危險的事情。單純依賴自動分析和響應(yīng)可能會讓您的網(wǎng)絡(luò)不堪一擊。光有APT安全設(shè)備還遠(yuǎn)遠(yuǎn)不夠，只有掌握了有力的證據(jù)，掌握了網(wǎng)絡(luò)中發(fā)生的情況、每個數(shù)據(jù)包通過網(wǎng)絡(luò)傳輸?shù)奈恢谩�時間及其內(nèi)容，您才能全面準(zhǔn)確地了解網(wǎng)絡(luò)中所發(fā)生的一切。

　　網(wǎng)絡(luò)數(shù)據(jù)包捕獲使您可以使用網(wǎng)絡(luò)數(shù)據(jù)包檢查和可視化技術(shù)，獲取可作為行動依據(jù)的信息，確保正確洞察網(wǎng)絡(luò)中發(fā)生的一切。在應(yīng)對APT的過程中，有一點彌足珍貴，那就是確保正確了解所要面對的挑戰(zhàn)。