APT攻击防范策略

在2013年的全球RSA大会上，APT防范再次成为热点议题。在APT防范领域，国内外厂商也展出了最优秀的APT解决方案，他们的防范策略和解决方案可以概括为四类：

    1、主机文件保护类：不管攻击者通过何种渠道执行攻击文件，必须在员工的个人电脑上执行。因此，能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况，从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案。

    2、大数据分析检测APT类：该类APT攻击检测方案并不重点检测APT攻击中的某个步骤，而是通过搭建企业内部的可信文件知识库，全面收集重要终端和服务器上的文件信息，在发现APT攻击的蛛丝马迹后，通过全面分析海量数据，杜绝APT攻击的发生。

    3、恶意代码检测类：该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤，因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络，因此，恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的。

    4、网络入侵检测类：就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多，但是，恶意代码网络通信的命令和控制通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT通信通道。

抢沙发。吃火锅