放眼大局来看，企业必须做足充分准备，以针对进攻取证袭击作出有效的事件响应。一个企业应该从三个等级做好救援事件响应准备，Keanini 说，每一个等级需要添加一个维度来补充上一个等级力所不及的。

“即使攻击者可以规避其中的一个等级，他们还是终将暴露在其他等级中，“Keanini 说。

第一个等级是端点遥测。每个端点应该有一些负责操作整个设备的系统级程序。

“虽然你永远不能做到 100% 的准确率，然而百分之零的准确率是绝对不可接受的，”Keanini 说。

第二个等级是网关和接入点遥测。在网络的入口和出口上，一些技术应该记录入站和出站连接。这将为网络互联提供检测和网络取证的依据。

第三个等级是基础设施遥测。

“所有的网络基础设施应该展示未取样的 Netflow/IPFIX(流量分析 /互联网协议流信息输出)，”Keanini 认为，IT 安全利用跟踪所有元数据水平下网络流量的工具来收集这些数据集。

“这个数据集作为网络的总帐目，能够提供给你网络中最完整的活动列表，”Keanini 说。

如果一个企业用三个等级的遥测技术来武装其自身安全，几乎没有任何攻击或者攻击者可以找到藏身之处。

Keanini 认为，“更重要的是，当黑客进行某种形式的数据挖掘时，在执行其他阶段的攻击时其仍然要想方设法地去掩藏自己。”

在运营阶段，企业可以发现具备这些遥测水平的攻击者，并在黑客完成进攻目标之前做出相应部署。

企业需要时刻留意进攻取证，它像其他攻击技术一样将持续发展进化。进行网络犯罪的黑客将使用一切可能的工具来完成网络进攻，即使该工具本身是良性的，网络黑客也会背离其设计者的初衷而在犯罪过程中歪曲地使用它。

首席安全官和首席信息安全官们需要不断对其 IT 团队和安全团队进行技术培训，来让他们知晓当前的最新威胁及破解途径。大多数 IT 安全团队最终还是需要最新的工具来检测进攻取证攻击的，Hazdra 说。

高价值资产需要最先进的保护模式，以便安全团队能够检测威胁并防止黑客利用取证工具窃取企业数据，Hazdra 认为。

“未经授权使用这些工具的情况很可能发生于大多数企业和组织网络管理的盲区。因为管理员会监控包括网络流量、文件完整性、入侵检测和未经授权的访问尝试等在内的行为，却没有适当的工具来检测系统上执行内存转储的人或者其安全团队是否在使用进攻取证工具，”Hazdra 解释道。

(责任编辑：)