渗透阶段：攻击者利用已经控制的计算机作为跳板，通过远程控制，对企业内网进行渗透，寻找有价值的数据，与进入阶段类似，本阶段一样会考验攻击者的耐心、技术、手段。

收获阶段：攻击者会构建一条隐蔽的数据传输通道，将已经获取的机密数据传送出来。其实本阶段的名字叫“收获阶段”，但却没有时间的限制，因为APT攻击的发起者与普通攻击者相比是极端贪婪的，只要不被发现，攻击行为往往不会停止，持续的尝试窃取新的敏感数据与机密信息。

如何防御APT攻击

正所谓“知己知彼，百战百胜”，在我们对APT攻击有一定了解后，也要自省其身，了解企业的安全现状，才能做好防护，例如：企业与哪些机构通讯交互？企业的组织结构？现有的安全策略有哪些？哪些数据是机密数据，需要加强保护？是否有检测APT攻击的技术手段？是否有完善处理信息安全入侵事件的应急响应流程？员工的安全意识是否需要强化……

回顾APT攻击的四个阶段，我们在每个阶段可以做些什么呢?

Ø 搜集阶段：攻击者在此阶段主要任务是收集信息、制定计划。在此阶段我们可以依托安全威胁检测、预警系统，识别攻击者对企业网络的嗅探、扫描行为，做到提前防范；加强对信息系统的安全管理，例如定期进行安全检查、加固，尽量少的暴露系统信息，提高初始攻击的难度；定期对员工进行安全意识培训，提高员工的安全防范意识。

Ø 进入阶段：攻击者在此阶段会想办法控制企业内部的计算机作为实施入侵行为的第一个落脚点。在本阶段我们可以依托安全威胁检测、预警系统识别正在进行的攻击行为；合理配置入侵防御系统、防火墙等产品的安全策略，阻断常规的攻击尝试行为；提高警惕，避免攻击者利用社会工程学进行诱骗；一旦发现攻击事件，启动事件处置及应急响应流程。

Ø 渗透阶段：渗透阶段与进入阶段类似，攻击者都会尝试不同的攻击技术、攻击手段对目标系统进行入侵。可以考虑通过合理规划安全域，加强系统账户的安全审计、系统账号及权限管理、系统安全策略优化等手段提高攻击者继续渗透的难度；此外，威胁监测和安全意识同样是强化的重点。

Ø 收获阶段：在本阶段攻击者会设法将获取的机密数据信息传送至企业外部网络，因此对于敏感流量、非法连接的检测变得尤为重要。

APT攻击无法通过单一的安全产品和安全技术进行有效的检测、防护，企业只有建立以安全技术与安全管理相结合的纵深防护体系，才能抵御APT攻击。此外，在APT攻击与防御的一般过程中，威胁检测贯穿始终，因为只有及时发现APT攻击，我们才能在第一时间阻止网络攻击事态的继续恶化，进而有的放矢的完善企业的安全防护体系。

ADLab APT检测防御

启明星辰是业界领先的安全产品、安全服务、安全解决方案供应商，在安全服务方面具有多年的技术沉淀和积累。ADLab（积极防御实验室）安全服务团队更是经历过众多国家重点科研项目、信息安全保障项目的洗礼，依托专业的安全产品、安全服务，以及最佳实践，启明星辰推出M2S 2.0持续威胁监测服务，协助企业铸造APT攻击防御的壁垒。

M2S 2.0持续威胁监测服务的目标是通过专业的安全产品监测客户信息系统中的异常网络行为和恶意攻击行为，例如0DAY漏洞利用、特种木马事件、间谍软件事件、组合攻击事件等，依托启明星辰ADLab专业的安全服务能力对安全产品的告警信息、日志数据进行深入挖掘、分析，将异常网络行为和恶意攻击事件以分析报告的形式清晰的展现出来，使客户能够对安全事件进行及时处置。

M2S 2.0持续威胁监测服务将安全产品和安全服务有机结合，即以专业的安全服务为粘合剂，将传统的入侵检测、蜜罐系统、异常流量检测等与敏感流量检测、恶意代码检测，以及其它新兴的安全产品和检测技术进行整合，实现对APT攻击的监测、识别、告警。下图为部分监测及服务目标：