因此，对于安全团队来说，利用反恶意软件工具或入侵检测系统（IPS）/入侵防御系统（IDS）来确认它们是比较困难的。但这并不等于这么做是不可能的。

可以采取的防御措施

　　我们应该知道，对于安全来说，第一道防线并不是软件或者网络设备。我们应该了解到，对于网络犯罪分子来说，实际情况正好相反，关键员工的笔记本或者台式机才是有价值的目标。控制这些设备就可以提供搜集目标客户创建和使用的信息的机会。因此，组织内使用权限最高的链接或者可以访问最机密信息的用户是攻击者的首选。

　　因此，这些用户包括了哪些人？对于大部分组织来说，最好的选择就是高级管理人员。高级管理人员包括了总部主管和部门领导。不幸的是，这些人使用的系统受到的保护等级经常是最低的。

　　在很多组织中，在实施安全控制策略方面存在双重标准。很多管理人员认为自己足够明智和负责任，可以避免恶意软件的感染。即使他们不相信这一点，也不希望自己和普通员工一样受到限制。这种双重标准的存在，让攻击者可以利用有针对性的方法进行重点攻击。

　　在这里，他们不仅仅是高级管理人员，也是被针对的目标。在一家公司中，很多负责处理最高级机密信息的用户都有链接到本地工作站安装数据搜集类恶意软件的权限。

　　为了满足防御有针对目标的攻击带来的挑战，我建议采取如下的措施：

　　1、在部署安全控制措施时，消除所有使用方面的双重标准。高级管理人员应该明白，在攻击者对内部系统进行全面搜索试图找到漏洞时，他们面临的风险更大。

　　2、在任何情况下，用户也不能在本地计算机上利用系统管理员权限对公司机密信息进行处理。即使用户打开了被感染的附件，这样的设置也可以让它不能安装。对于目标和攻击者来说，这是一种建立隔离墙最好的方式。

　　3、贯彻最小权限原则。对信息数量进行限制，以防止攻击的发生。对于信息技术团队来说，这一原则同样适用。对于攻击者来说，破解网络或服务器管理员的系统等于获得了大奖。信息技术人员只有在必须执行具体任务时，才使用管理员账户。此外，仅仅因为一名管理员拥有创建业务用户账户的权限，并不等于他或她应该获得链接路由器和交换机进行配置的权限。

4、确保包括应用程序在内的所有系统补丁都已安装。

　　5、关注入侵防御，对入侵防御系统设备进行配置，来防止或监测内部系统和外部意料之外或不寻常的输出链接。对于有针对性的攻击的防御来说，挤出检测/预防模式属于非常重要的组成部分。

　　6、用户必须对面临的威胁有足够的认识。这就需要开展培训，让用户对有针对性的攻击有基本的了解，并且知道在面临可能的威胁时，应该怎么办。培训内容还应该包括利用现有的安全措施关注威胁带来的风险。

　　7、最后，常规控制措施必须部署到位。这些措施包括了反恶意软件工具、主机和网络端的入侵检测/预防解决方案、邮件过滤器等。

　　结 论

　　在防御有针对性的攻击时，这样做是错误的。同样，这样的错误也出现在强制所有的系统部署基本安全控制措施，而没有意识到有个别的用户系统应该被重点关注的情况中。对于安全来说，是没有确定答案的，这样的做法从来就不是简单的。但是，这样做越来越有必要。本文中讲述的所有方法都没有超过常识的范围。不过，当我们在公司里的地位越高，就越倾向于选择限制度越低的控制措施。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点