如同一個(gè)APT攻擊需要突破多個(gè)網(wǎng)絡(luò)層才可以成功一樣，如果企業(yè)不希望淪為APT的獵物必須實(shí)施能夠進(jìn)行多層網(wǎng)絡(luò)防御的安全策略。也就是說(shuō)單一的網(wǎng)絡(luò)安全功能是不能夠防御APT攻擊的。

安全協(xié)助：

攻擊者不會(huì)止步于獲取更多的目標(biāo)來(lái)彰顯其“榮譽(yù)”，所以公司機(jī)構(gòu)的安全策略與防御體系也不是一日之功。公司機(jī)構(gòu)需要可靠的IT雇員了解最新的威脅與潛在的攻擊路徑，與網(wǎng)絡(luò)安全組織保持近距離的接觸，在必要的時(shí)候可獲得幫助。

最終用戶的引導(dǎo)：

網(wǎng)絡(luò)攻擊者選定的最終用戶攻擊目標(biāo)，一定是攻擊目標(biāo)存在可以發(fā)動(dòng)首次攻擊的最佳機(jī)會(huì)。這如同銀行劫匪的“座右銘”，“錢(qián)在哪我們就在哪”的道理是一樣的。引導(dǎo)并教育最終用戶正確地使用社交媒體保護(hù)隱私以及機(jī)密信息防止被利用是安全防御中重要的一環(huán)。同樣關(guān)鍵的是，在公司機(jī)構(gòu)具有訪問(wèn)敏感數(shù)據(jù)的雇員應(yīng)受到數(shù)據(jù)處理方面的專門(mén)培訓(xùn)。定期對(duì)公司雇員進(jìn)行內(nèi)部的安全風(fēng)險(xiǎn)防范意識(shí)培訓(xùn)可減少被攻擊的機(jī)率。

網(wǎng)絡(luò)隔離：

如果一個(gè)雇員沒(méi)有來(lái)由地訪問(wèn)了可能包含敏感數(shù)據(jù)的特別資源，那么基本的網(wǎng)絡(luò)隔離可以協(xié)助防御在內(nèi)部網(wǎng)絡(luò)之間的流傳。對(duì)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行用戶訪問(wèn)細(xì)分，可潛在的避免攻擊者。

Web過(guò)濾/IP信譽(yù)：

通過(guò)使用當(dāng)前的IP信譽(yù)數(shù)據(jù)與web過(guò)濾規(guī)則的解決方案，可能會(huì)阻擋一些攻擊。舉例說(shuō)明，如果會(huì)計(jì)團(tuán)隊(duì)沒(méi)來(lái)由地去訪問(wèn)地球另一端國(guó)家的網(wǎng)站或者IP地址，創(chuàng)建web訪問(wèn)過(guò)濾規(guī)則可以有效防止可能中招被攻擊網(wǎng)站的訪問(wèn)。通過(guò)使用IP信譽(yù)服務(wù)，可以避免一些攻擊者使用攻擊其他公司的伎倆，來(lái)故伎重演的攻擊下一個(gè)目標(biāo)公司。

白名單：

白名單功能的使用有很多方法可言。例如，網(wǎng)絡(luò)白名單可設(shè)置只允許一些內(nèi)部流量訪問(wèn)網(wǎng)絡(luò)資源。這可以避免攻擊者侵入內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)白名單還可以防止用戶訪問(wèn)那些沒(méi)有明確被允許的網(wǎng)站。應(yīng)用白名單可設(shè)置一個(gè)只允許在計(jì)算機(jī)設(shè)備運(yùn)行的應(yīng)用名單，阻斷其他軟件在設(shè)備的運(yùn)行。這樣可避免攻擊方在目標(biāo)用戶的計(jì)算機(jī)系統(tǒng)運(yùn)行新的程序。

黑名單：

白名單顧名思義是明確被允許執(zhí)行或訪問(wèn)資源的名單，黑名單同理是設(shè)置阻斷對(duì)不安全的資源、網(wǎng)絡(luò)或應(yīng)用訪問(wèn)的名單。

應(yīng)用控制：

如今雇員使用網(wǎng)絡(luò)服務(wù)的現(xiàn)象相當(dāng)普遍，例如Facebook、Twitter以及Skype。許多公司是不對(duì)這些應(yīng)用的訪問(wèn)作控制與管理的，如此自由的訪問(wèn)與應(yīng)用可會(huì)將公司暴露在新一代的基于web的威脅與灰色軟件之下。應(yīng)用控制功能可以識(shí)別與控制網(wǎng)絡(luò)中的應(yīng)用，無(wú)論是基于端口、協(xié)議或者IP地址。通過(guò)行為分析工具、最終用戶關(guān)聯(lián)與應(yīng)用分類可以識(shí)別并阻斷潛在的惡意應(yīng)用與灰色軟件。

基于云端的沙盒：

基于云端的技術(shù)與資源進(jìn)化得更為豐富了，“移交”式分析與檢測(cè)成為檢測(cè)潛在威脅的一種好工具?；谠贫说纳澈锌梢栽诳煽氐南到y(tǒng)中執(zhí)行未知的文件與URL，所述可控的系統(tǒng)可以分析這些文件與URL的行為規(guī)則以檢測(cè)可疑或異常的活動(dòng)。

終端控制/AV：

舊有的基于客戶端的反病毒與反灰色軟件防御解決方案仍可提供可靠的病毒與灰色軟件防御。但是多數(shù)客戶端應(yīng)用不能防御零日攻擊，可以阻斷的是黑客使用過(guò)去的相同或相似的攻擊手段。

數(shù)據(jù)防泄漏（DLP）：

正確的識(shí)別敏感數(shù)據(jù)并有效地實(shí)施DLP解決方案是公司機(jī)構(gòu)能夠高效的保護(hù)敏感的數(shù)據(jù)避免泄漏的方法。

入侵防御（IPS）/入侵檢測(cè)（IDS）：

IPS與IDS產(chǎn)品可以作為另一層監(jiān)控網(wǎng)絡(luò)流量可疑活動(dòng)的防御體系。好的IPS與IDS系統(tǒng)同樣會(huì)對(duì)IT人員報(bào)警潛在的威脅。

主動(dòng)打補(bǔ)?。?/strong>