下面这个简短的问答，是从MANDIANT公司的执行副总裁兼首席财务官Michael Malin和产品副总裁Dave Merkel最近的podcast采访中摘录下来的。Dave Merkel目前正致力于先进而持续的威胁和事件响应安全的研究。

　　企业可以采取哪些措施来主动防御先进而持续的威胁（APT）呢？在遭受APT攻击之后该怎么做呢？

　　Dave Merkel：这是一个棘手的问题。我先讲一下我确定没有效果的做法：如果你的信息安全计划完全是基于规则遵从的，而你试图从某些实体中对一些准则标出复选标记，那么你可能阻止不了此类攻击。如果你的安全计划在质量方面缺少能力很强的技术专家去管理基础设施和不断改善基础技术方案，如果你在预防和侦查方面正考虑投资，那么你永远不必担心响应措施，因为你是首要的攻击目标并且可能会面临很多问题。

　　我们发现，那些最成功地处理了此类攻击的公司了解他们从基础设施中实际获得的安全等级，因此事后仍然对各种正确的措施保持着警惕。有多少公司购买了IDS并让它运行，可从不看日志或考虑数据分析，难道他们不应该对系统产生的以及收集到的信息做任何理性思考吗？这是经常都会发生的事情。

　　我们发现，很多公司已经成为攻击者重点攻击对象。在国防工业方面，我们已经看到许多APT行为，这是可以理解的，看看这个组织现在是如何工作的：他们之间互相交流信息，他们积极参与讨论威胁，他们积极寻找新的情报来源，他们对自己的基础设施保持警觉，认识到只有做到这些才可以彻底阻止攻击。你要在管理上成功，这种心态是必备的，因为你无法完美的防御来自这些攻击组织的威胁，这和你面临其他风险时情况相似。这些公司正在做的是一件好事。

　　Mike Malin：我觉得我们正在做的一件事情就是处理事故响应，不管是否是应对APT。如果APT已经发生，我们推荐一些常规措施：不要惊慌，观察并采取行动，确定胜利。这意味着：通过这种监测措施，你真的想获得的是什么？是在企业的微观层面进行扫描，还是确实需要检查整个企业，并了解你试图去做的事情的真正情况？最后我想说的是，回到最基本的原则：你需要耗费很多精力才能具备一系列强有力的安全方案。我们现在看到的是，你最好具备安全响应能力，因为你很可能会受到攻击。