网络安全攻击通常可植入后门程序或者控制漏洞，隐匿地获取被攻击方的信息和数据。APT攻击通常不仅仅为了短时间内攻破对方信息系统，而是长年累月的潜伏在对象系统直至完成收集或者破坏任务。由于APT攻击通过长达数年的观察、分析、监视至掌控，一旦获取到重要的情报信息或是需要完成破坏任务，那么将整个数据库全部转移甚至将被全部摧毁也是轻而易举，破坏程度之大甚于原来的所有攻击方式。

 

　　APT攻击中通常使用0day漏洞，即官方软件厂商或者网上尚未公开发布补丁的漏洞。由于其动机和目的的隐秘性，在公开环境中很难探寻到特定APT攻击的踪迹。另外攻击的方式具有战术思想，在发动多种混合攻击的同时善于将主要的攻击手段隐藏在内，传统的防御措施束手无策或者仅能识别防御其小部分的伪装攻击，而无法全局控制和抵御真正的威胁。

 

　　从目前的攻击方式及手段来看，主要通过最小网络授权、网络应用管理和网络审计监测三种方式进行抵御与防护。

 

　　最小网络授权源于安全领域顶尖咨询机构Forrester提出的“零信任网络”概念。其认为所有的流量都不可信，无论访问来自于何种位置，都必须遵守最严格的控制访问策略。作为隔断内部网络和外部网络第一道防线的防火墙是最基础的角色，通过限制网络互访来保护内网资源。传统的防火墙分为四种类型，包过滤、状态性协议监测、网络地址转换（NAT）以及虚拟私用网络接入（VPN），主要适用于OSI模型中传输层与网络层的防护。而随着攻击技术的不断升级，传统的防火墙存在着无法检测加密Web流量、对于Web应用防护能力不足、深度检测扩展能力有限、遭遇攻击时有效流量无法通过等问题，日渐难以对应未来的复杂网络威胁环境。于是，下一代防火墙（NGFW）应运而生，其能够支持全面面向安全漏洞与威胁的特征码，动态启发性的探测攻击方式及手段，同时能够识别在应用和应用层上执行独立于端口和协议，而不是根据纯端口、纯协议和纯服务部署网络安全政策，有效的弥补了传统安全设备在设备性能、访问控制、应用识别和内容安全等方面的缺陷，在未来相当长的阶段中能较为成功的承担起Forrester“零信任网络”模型中网络隔离网关的角色。

 

　　对于企业内部信息系统而言，网络应用的管理成为防御APT攻击的重要方式，相对应的安全防护产品应用防护系统（WAF）成为完善这一方式的有利手段。WAF是执行系列针对HTTP/HTTPS的安全策略专门为Web应用提供保护的一款产品，主要面向Web服务器。虽然与下一代防火墙同为在应用层层面的防护，但是两者的部署位置与防护对象均不同。从防护对象来说，NGFW的防护对象是网络中的外部应用，例如P2P下载、外部网页访问等，而WAF的防护对象主要是内部服务器，两款产品的保护对象、防护的威胁种类、安全需求均不同。其次，从部署位置来说，NGFW一般部署在整个网络的网关位置，而WAF部署在WEB服务器之前，二者的性能压力也完全不同。

 

　　在面对APT的混合攻击时以上防护方式可能也会存在百密一疏，或者更新的APT攻击手段超越了目前的业界已有的防护措施。细致、精确的网络审计监测系统则成为监测预警、过程记录、事后追溯的强有力手段。在为自身业务提供高效的网络运营平台同时，日趋复杂的IT业务系统与不同背景业务用户的行为也给网络带来潜在的威胁，如内部业务数据、重要敏感文件通过电子邮件、数据库访问、远程终端访问、网络文件共享等方式被篡改、泄露和窃取，都极有可能成为APT攻击者发现、利用并进行长期潜伏、日后破坏的手段。