步骤2： 该恶意软件在受感染系统上执行。这可能需要受害者的手动操作，或者通过漏洞利用而不需要任何干预。

步骤3： 当该恶意软件运行时，它留下了一个后门程序(例如STARSYPOUND或者BOUNCER)，这些第一阶段的工具将后门程序交给攻击者以供以后访问。这允许攻击者保持对系统的持续访问。

步骤4： 攻击者上传工具来执行数据外渗、横向移动和其他操作。

企业应该如何缓解这些漏洞?你可以深入分析APT攻击，来为我们揭示应该如何和在何处有效缓解这些威胁吗?

高级威胁检测只是专注于检测和阻止恶意软件，我们还需要能够跨企业的安全产品自动生成和分享安全更新的能力，以响应新兴威胁。每个企业都需要对相关威胁有一个自定义视图。

帮助缓解高级持续威胁的重要考虑因素包括：

自动生成安全规则和签名：响应是打击有针对性攻击的关键组成部分，也是经常被忽视的组成部分。高级威胁检测和响应解决方案应该自动生成内容，可供其他安全解决方案查看。这可能会带来自动生成检测安全控制(例如入侵检测系统或用于主动拦截的恶意IP列表)的签名。这种系统还可以为基于端点的安全控制生成签名。

在攻击历史上，上下文(context)为王，在响应有针对攻击时，越多上下文越好。这种上下文是至关重要的情报，研究表明，情报是这些解决方案的重要特点。解决方案应该提供对可疑IP或域名的历史背景信息。来源曾被标记为恶意行为吗?来源域名没有信誉或者似乎是由机器生成表明恶意的可能性?这种情报信息可以帮助负担过重的安全人员减轻工作。

定制和灵活性：适合你的并不一定适合我;你企业的需求与不同垂直市场的企业的需求不同。企业需要根据自身IT环境选择解决方案。

现在内部威胁正逐渐成为主要威胁向量，你能谈一谈内部威胁及其与APT的联系吗?

任何APT想要获得成功，必须得到对目标系统、网络或者数据的访问特权，而这通常是通过企业内心怀不满的员工，有时候内部威胁通常源自于心怀不满的员工或者网络的最薄弱环境。

这些员工造成的数据泄露事故可能是为了金钱收益，或者只是简单的投机取巧。这些数据泄露通常是利用未使用或未删除的账户或服务。

(责任编辑：)