不久前，美国某主要电子元器件分销商的IT安全分析师发现了一些特殊的网络活动。该分析师评估了Netflow网络流量数据，并确定某个人或者某个物体当时正在制定对大量IP地址的定期扫描。这名不愿意透露姓名的分析师表示：“我们遭到攻击了。在我们的一个仓库中，发现很多系统被感染，甚至我们的管理网络也被感染了。”

　　攻击者在该公司的网络中至少“潜伏”了6个星期，很多端点和服务器都受到感染。虽然该分析师表示他相信现在恶意软件已经被清除，并且攻击者也已经撤离，但他并不清楚攻击是如何发生的。“让人头疼的是，我们不知道这种攻击的初始时间，”他表示，“他们可能仍然潜伏在我们网络中的某个地方。”

　　这种攻击同时具有常见的和不常见的特性。常见之处在于，感染了这么久都未被发现。不常见之处在于，该公司安全团队自己发现了这个攻击。根据2012年Verizon数据泄露调查报告（DBIR）显示，很多数据泄露在很长时间内都未被发现，90%的感染企业通过第三方发现泄漏事故，而不是自己发现。

　　来到自定义恶意软件攻击的世界，在这个世界，攻击者（在必要时）使用通用且广泛使用的攻击代码作为基石，制作自定义恶意软件来偷偷潜入企业内部。“这难以量化，”IANS研究高级副总裁兼首席技术官David Shackleford表示，“但现在越来越多的攻击使用自定义恶意软件。”

　　根据很多未经实证研究的证据显示，几乎每天都会涌现出一个新的有针对性的零日攻击。此外，CounterTack公司在8月份对有针对性攻击的调查显示，在100名接收调查的信息安全管理人员中，超过一半的人表示他们的企业在过去12个月中成为攻击目标。

　　SANS研究所资深教授Lenny Zeltser表示，也许，自定义恶意软件攻击（或者说一般攻击）如此成功的原因在于我们将全部焦点放在了恶意软件上。“我们经常专注于攻击的恶意软件组件，也许是因为恶意软件被发现后，它是我们可以看到和进行分析的有形的东西，”Zeltser表示，“我们应该从更大的范围来考虑攻击事件：自定义恶意软件通常只是针对性攻击的一部分，攻击者试图通过针对性攻击来实现一个目标。”

　　Zeltser表示，最佳防御方法在于，企业应该检查攻击的生命周期的所有方面，避免围着恶意软件打转。这种重新定位包括侧重检测能力和事件响应能力。这种方法看似很简单，但这并不意味着它很容易执行。为了打击自定义恶意软件，企业不仅需要重新考虑他们用于保护其系统的技术，也要重新思考已经部署的程序。

　　在接受SearchSecurity.com采访时，反恶意软件厂商卡巴斯基首席执行官兼联合创始人Eugene Kaspersky表示，企业必须提高攻击者绕过其防御的复杂度和成本。他提到了著名的Stuxnet木马攻击，据称该病毒侵入了伊朗纳坦兹提炼设施中完全断开的网络，这说明即使是完全隔绝的网络，都难以杜绝病毒攻击。

　　为了抵御针对性的恶意软件攻击，Kaspersky认为，应用白名单也是个可行的办法。“如果某个应用做了它不应该做的事情，它将立即通过默认拒绝被阻止，”他表示，“如果你创建一个默认环境，只有白名单中的应用可以在环境中运行，你将能够阻止任何复杂的恶意应用的运行。”

　　Spire Security公司研究主管Pete Lindstrom也表示，白名单（或者说应用控制）是重要的防御方法，但并不是完全的解决方案。他表示：“这种方法并不总是行得通，因为环境会变化，一些环境甚至经常会改变。为了抵御针对性攻击，企业需要保持审慎的态度，而不要被吓到了。”

　　出于这种审慎的态度，企业应该具备一个事件响应团队和有效的取证调查能力。根据Zeltser表示，一旦确定了自定义恶意软件，企业应该检查该恶意软件以及它所处的环境，以了解攻击事件的严重性。他还表示，企业需要通过了解被攻击系统的性质以及他们处理的数据、恶意软件的能力以及恶意软件使用的方式，来确定攻击者的潜在目标。Zeltser表示：“取证分析帮助企业确定如何遏制攻击者在企业内的影响，清除恶意软件，并最终恢复。”