FW, programy antywirusowe i inne zabezpieczenia ukierunkowane na zapobieganie mogą skutecznie blokować tylko te ataki, które okazały się złe. IE, jeśli określony typ ruchu lub określony plik jest uszkodzony w 100% przypadków, można go skutecznie zablokować. Chociaż narzędzia zapobiegawcze mogą nie pomóc w przypadku bardziej zaawansowanych zagrożeń, mają zastosowanie w blokowaniu znanego złego ruchu. Jest dużo złego ruchu / plików, które należy zablokować, aby skutecznie chronić swoją organizację. Jest to bardzo cenne, ale nie chroni przed zaawansowanymi zagrożeniami. Możliwe jest tworzenie plików, które wyglądają na dobre i ukrywają zły ruch przy dobrym ruchu. To wymaga obrony różnicowej do wykrycia.
Wchodząc w ataki sponsorowane przez stan i zaawansowane, musisz podchodzić do rzeczy całościowo. Mogą nie musieć kierować bezpośrednio do Ciebie, aby uzyskać Twoje dane, jeśli są przechowywane w innym miejscu. Jeśli osoby trzecie, z którymi współpracujesz, są łatwiejszymi celami, prawdopodobnie zostaną zaatakowane jako pierwsze. Zależy to od określenia najłatwiejszego sposobu uzyskania danych i zastosowania środków zaradczych w celu zarządzania tym ryzykiem.
Najlepszym sposobem obrony przed zaawansowanymi zagrożeniami jest skupienie się na wykrywaniu. Atakujący omijają prewencyjne zabezpieczenia, ale ich działania po wejściu do sieci powinny być dla Ciebie widoczne. Tutaj do gry wkracza przewaga obrońcy. Atakujący ma tę przewagę, że wkracza do akcji, ponieważ musi znaleźć tylko jedną lukę do wykorzystania. Obrona ma przewagę wewnątrz sieci. To jest twoje pole startowe, powinieneś dobrze o tym wiedzieć, powinny istnieć warstwy obronne, które spowalniają napastników, dając ci czas na ich wykrycie, odizolowanie i zablokowanie. Myśląc ponownie holistycznie, powinieneś znać prawdopodobne cele i słabe punkty swojej organizacji. Powinny mieć wokół siebie warstwy środków ograniczających zagrożenie.
Wykrywanie sprowadza się do znajdowania i wykrywania nietypowego zachowania. Możliwe, że wystąpił alert dotyczący ataku, którego nie znaleziono wśród stosu innych alertów. Osoba atakująca nie powinna mieć możliwości usunięcia swoich śladów w Twojej sieci. Ich aktywność jest gdzieś w twojej infrastrukturze, potrzebujesz oczu, aby zobaczyć tę aktywność i wiedzy o twojej infrastrukturze, aby wiedzieć, gdzie patrzeć. Organizacja powinna mieć inwentaryzację zasobów, aby wiedzieć, kiedy dodawane są nowe urządzenia, linie bazowe, aby wiedzieć, jakie zachowanie jest normalne, aby wyróżniało się nienormalne zachowanie, zarządzanie konfiguracjami / monitorowanie, aby wiedzieć, kiedy pliki systemowe są modyfikowane, monitorowanie sieci i hosta, aby zobaczyć ruch i działania, silne kontrole dostępu w celu spowolnienia ruchu poprzecznego w ramach infrastruktury, myślę, że o co chodzi. Im więcej masz elementów sterujących, tym lepsza jest Twoja widoczność. Zobacz SANS Critical Security Controls. W Twojej sieci każdy atakujący będzie musiał zostawić dowody swoich działań. To od Ciebie zależy, czy będziesz mieć narzędzia, które pozwolą Ci zobaczyć te czynności i wiedzieć, gdzie szukać.
Nie wiedząc nic więcej o napastniku, możesz założyć, że będzie on chciał utrwalić się po wejściu, znalezieniu i wyprowadzeniu danych. Wchodzą tu narzędzia obronne. Prawidłowy ruch musi być dozwolony, co pozwala skupić się na tym, jak ujawnić intruza, który szuka danych i je wydobywa. Obserwuj prawdopodobne docelowe dane i punkty wyjścia. To będą najłatwiejsze punkty do ich znalezienia, ponieważ zaawansowany napastnik zrobi wszystko, co możliwe, aby wtopić się w prawidłowy ruch i pozostać niewidzialnym.