对付进攻取证的方法包括运行能够掩藏和保护内存数据的安全功能。这些类型的应用程序包括KeePass和KeeScrambler。KeePass是一个加密的剪贴板工具，能够自动清除剪贴板历史;KeeScrambler则加密浏览历史。

“每当用户将字母键入浏览器，系统就会加密以防止黑客读取储存在内存中的数据，”Sremack解释道。目前有免费版的KeeScrambler;同样能对付键盘记录程序的还有付费版本。

最佳实践要求一个企业网络用户必须在一个特定的机器上登陆进行系统活动，这样一来，黑客就更难以消除自己的行踪。此外，企业应该使用文件系统可 仅标记文件为“附录”的特性(不会删除或覆盖现有的数据)，这样即使是那台特定机器的系统管理员都无权删除所写，除非机器进入离线维护模 式，Lancope的首席技术官TK Keanini这样解释道。

放眼大局来看，企业必须做足充分准备，以针对进攻取证袭击作出有效的事件响应。一个企业应该从三个等级做好救援事件响应准备，Keanini说，每一个等级需要添加一个维度来补充上一个等级力所不及的。

“即使攻击者可以规避其中的一个等级，他们还是终将暴露在其他等级中，“Keanini说。

第一个等级是端点遥测。每个端点应该有一些负责操作整个设备的系统级程序。

“虽然你永远不能做到100%的准确率，然而百分之零的准确率是绝对不可接受的，”Keanini说。

第二个等级是网关和接入点遥测。在网络的入口和出口上，一些技术应该记录入站和出站连接。这将为网络互联提供检测和网络取证的依据。

第三个等级是基础设施遥测。

“所有的网络基础设施应该展示未取样的Netflow/IPFIX(流量分析 /互联网协议流信息输出)，”Keanini认为，IT安全利用跟踪所有元数据水平下网络流量的工具来收集这些数据集。

“这个数据集作为网络的总帐目，能够提供给你网络中最完整的活动列表，”Keanini说。

如果一个企业用三个等级的遥测技术来武装其自身安全，几乎没有任何攻击或者攻击者可以找到藏身之处。

Keanini认为，“更重要的是，当黑客进行某种形式的数据挖掘时，在执行其他阶段的攻击时其仍然要想方设法地去掩藏自己。”

在运营阶段，企业可以发现具备这些遥测水平的攻击者，并在黑客完成进攻目标之前做出相应部署。

企业需要时刻留意进攻取证，它像其他攻击技术一样将持续发展进化。进行网络犯罪的黑客将使用一切可能的工具来完成网络进攻，即使该工具本身是良性的，网络黑客也会背离其设计者的初衷而在犯罪过程中歪曲地使用它。

首席安全官和首席信息安全官们需要不断对其IT团队和安全团队进行技术培训，来让他们知晓当前的最新威胁及破解途径。大多数IT安全团队最终还是需要最新的工具来检测进攻取证攻击的，Hazdra说。

高价值资产需要最先进的保护模式，以便安全团队能够检测威胁并防止黑客利用取证工具窃取企业数据，Hazdra认为。

“未经授权使用这些工具的情况很可能发生于大多数企业和组织网络管理的盲区。因为管理员会监控包括网络流量、文件完整性、入侵检测和未经授权的 访问尝试等在内的行为，却没有适当的工具来检测系统上执行内存转储的人或者其安全团队是否在使用进攻取证工具，”Hazdra解释道。