在2010年7月号的《信息安全杂志》上,GE的应急响应总监Richard Bejtlich发表一篇文章——《Understanding the advanced persistent threat》。这个文章比较系统地讲述了APT这个名词产生的历史成因和演化,以及所指的多种含义(从政治经济和技术两个角度),并帮我们厘清了其中可能存在的一些误解。文章还分析了APT的危害,以及我们应该如何去防范APT。从应急响应的角度来说,需要政府相关部门、专业安全企业、相关单位协同联动,例如美国目前在这方面是FBI主导。从技术的角度而言,就是要建立对全网安全状态的可视化。Richard说到:On a technical level, building visibility in to one's organization will provide the situational awareness to have a chance to discover and hopefully frustrate APT activities. Without information from the network, hosts, logs, and other sources, even the most skilled analyst is helpless.
【参考】利用日志审计追踪APT攻击
