攻击动机更重要

在复杂的攻击中，常常可以看到攻击者从一台被入侵机器连到另一台，你可以尝试尽可能地追查下去，但几乎很难追查到关于攻击者的蛛丝马迹。我们真的没办法取得像情报单位那么多关于攻击者的资料。我们可以使用开放的资料库，但这仍然很有限。有时攻击者会犯错，在这时候我们才可能调查出他们是谁，他们针对谁。

这不是说你该完全忽略谁在攻击你，而是应该更关注他们会做什么。如果有人用脚本小子（Script Kiddie）取得的工具来攻击你，这可能并非严重的威胁。如果有人用新的漏洞和精心设计的恶意软件来攻击你，那就要注意了。

他们的能力可能也反映了他们的意图。例如，故意破坏（如篡改网站）比较可能是激进黑客主义（Hacktivism）的目标，而非国家级攻击活动。了解你面对的是什么样的对手才可以让你了解他们的动机。但大多数攻击的目标是窃取信息：有时可能是可以马上换钱的金融信息，如支付信息；有时可能是更加敏感的信息，如公司机密。

并非每次入侵都会造成严重的信息外泄事件来占据各大科技新闻网站的头条。它可能是细水长流型：可能会放置后门程序在你网络内部长达数个月，慢慢地在没人注意的情况下流出信息，这是许多攻击者想要的结果，即来自目标源源不绝的信息。而网络存取能力本身也可能成为一种商品，想象一下出现在网络犯罪地下市场的一则广告信息“一万美元就可以让你进入A公司的网络”。太明目张胆了。

那么，你该如何防护这一切？针对入侵外泄的侦测是目前最重要的。你不能再假设外围防御能够阻止一切到达你组织的攻击；相反地，你必须假设某种入侵事件最终将会发生，尽可能地准备好侦测这样的入侵外泄行为。

想要做到这一点，就必须准备好事件回应计划。特别是针对严重而大规模的入侵外泄行为，重要的是要知道该怎么办，获取必要的工具，有合适的人员并提供相应的训练。这样，当重大事件发生时，人们可以根据经过深思熟虑过的计划来作出回应，而非匆忙而慌张地做出反应。

从防御的角度来看，归因要做，但研究攻击动机更加重要。这决定了攻击者一旦进入你的网络内部后会做什么，这也相对地影响了你该如何建立自己的防御能力。因此，组织最好的防御思路莫过于确认攻击者的动机，然后根据此动机判断入侵最有可能发生的节点以及方式，并拟定针对性的入侵防御方案，对目标进行重点防御。

建立APT防御机制的前提是你的组织有监控威胁的充足能力，以发现入侵攻击的发生及演变过程。缺乏这一能力的组织可以通过部署亚信安全深度威胁发现平台（Deep Discovery），通过智能的安全管控确认威胁是否发生、判断攻击的本质、评估威胁的影响和范围，进而构建安全联动的防护体系。