Gartner认为应使用网络流量和载荷数据分析并取证来停止以恶意软件为基础的攻击。

攻击者试图通过使用复杂的恶意软件通过企业的网络和电脑来窃取敏感信息。Gartner表示，IT可以通过五种基本方式保护企业抵御攻击，并建议结合至少其中两种方式以达到最佳效果。

Gartner的报告显示，“五种类型的先进威胁防御”定义了解决威胁(有时被称为先进持续性威胁)的技术途径，而不是简单的使用传统安全手段如病毒或防火墙。

该报告基于市场上某些安全产品，这些产品的设计意图是帮助企业识别秘密攻击并对受损系统收集取证。Gartner将这些产品分成五种技术途径，作为一个安全框架内的特定“类型”。

根据Gartner分析，首要考虑的应该是旨在窃取关键数据的攻击的时间范围。有能够到位的实时防御(或即时防御)，但当攻击成功并有取证需要时其他工具应该被当作是“postcompromise”。在报告中，Gartner指出一些安全厂商将产品做成具有双重功能的。

一般来说为了检测被攻破的系统，需要分析入站和出站网络流量，要做到这一点，不需要端点的代理软件，还需要考虑攻击者的负载。通过使用一个安全隔离的模拟环境，沙盒技术可以观察到载荷是如何运行的，旨在将其标记为危险的。Gartner指出，需要确定端点是如何受恶意软件影响的，但这通常要花费很大的运营成本在端点进行管理和部署，Gartner说。

总之，Gartner“五个类型”的防御是：

类型1：使用网络流量分析技术来建立正常流量模式基准(例如反常的DNS流量可能暗示着僵尸网络流量)和代表一个被危害的环境的突出异常模式。这种方法提供了实时检测，并且可以包括非基于特征和基于特征的检测技术，不需要端点代理。但问题是，它可能需要“小心调优和知识渊博的人员以避免误报”,Gartner指出。如果产品是一个带外的工具，它将有一个阻止攻击有限的能力范围，不会监控网络移动终端的流量。产品属于类型1的有Arbor Networks，Damballa，Fidelis，Lancope和Sourcefire的AMP，据Gartner统计。(Sourcefire最近被思科公司收购)。

类型2：网络取证通常提供“完整数据包捕获和网络流量的存储”以及先进威胁的事件响应分析和报告工具。带来的好处包括减少事件响应时间，并可以在数天或数周后重建和回放流量和事件，而且有时可以提供满足监管要求的详细报告。不利的一面呢?这些工具是复杂的并且消耗较多的数据量和时间。“出于他们分析大量数据的方式，有时候需要在非工作时间生成报告。据说，类型2的供应商是蓝领(Solera网络)和RSA(NetWitness)。

类型3：载荷分析可以使用沙盒技术(无论是在室内或在云端)近实时地来检测目标攻击，但他们通常不“启用一个postcompromise能力来跟踪端点再一天、一周或一个月的行为”Gartner指出。(具体做法参考Gartner的类型5，即端点取证)。Gartner又补充到，Gartner客户目前经常认为负荷分析的产品有不同的能力来准确地检测恶意软件。然而优势在于它们可以检测恶意软件，成功地绕过特征性产品。一些有可选择的屏蔽功能。然而，使用载荷分析的挑战在于，行为分析可以采取几秒或几分钟来完成，使得恶意软件得以通过网络危害端点，特别是当恶意软件使用具有延迟反应的逃避技术如睡眠定时器时。不过有些供应商正试图阻止这一点，Gartner补充道。方法类型3其他的缺点就是没有“提供恶意软件在端点运行的验证。”

仅仅因为恶意软件一个模拟的环境里以某种方式存在，并不意味着当它攻击真正的目标时它会采取同样的方式。一些负载分析产品只支持有限范围的有效载荷，如只是可执行的文件，Gartner认为。大多数支持微软的Windows，一些云途径支持Android，但Gartner认为所有的都不能支持苹果的Mac OS X系统。

类型3的例子有可能是AhlLab，有威胁仿真软件刀片Check Point，FireEye，Lastline，收购Valid Edge 的McAfee，有Wildfire的Palo Alto网络，ThreatGrid和有着Deep Discovery的趋势科技，Gartner表示。

类型4：端点行为分析的理论基础是“应用程序容器通过孤立在虚拟容器中的应用程序和文件来保护端点。这种类型的其他创新包括系统配置、阻止攻击的内存和过程监控，和协助实时事件响应技术。“类型4方法需要每个端点设一个代理，Gartner认为。它可以“拦截内核系统访问并阻止恶意活动比如线程攻击”和“通过孤立网页浏览对话框来保护用户免受恶意网站包括瞬间出现的下载网站和“水坑”。

这种方法的力量在于提供一些取证依据来阻止零日攻击，并且无论系统是开启还是关闭都能保护系统，但面临的挑战是，部署和管理代理软件属于运营密集型，并且在自备设备(BYOD)环境中运行十分困难。比如蓝岭网络，Bromium，Invincea， Sandoxie和Trustware。支持内存监控的供应商包括Cyvera, ManTech / HBGary(数字DNA)和RSA的Ecat。

类型5：Gartner类型目录的最后一种类是端点取证，包括事件反应小组的工具。这些端点代理从他们监控的主机收集数据。他们可以帮助自动事件响应和监控主机开启和关闭公司网络。然而，使用它们的挑战在于它们部署和管理操作起来很敏感，对非windows端点的支持是相当有限的。类型5供应商的工具包括Bit9, Carbon Black，带有EnCase分析的指导软件，Mandiant和ManTech / HBGary的响应者Pro。

细分出“五个类型”的先进威胁防御后，Gartner建议企业将至少两个“类型”放一起使用，比如同时使用类型3的负荷分析和5的端点取证。

“一些有效负荷分析厂商集成了端点取证商的解决方案，这有助于降低事件响应时间。网络流量分析(类型1)和端点取证(类型5)将提供类似的优点，但有存在这些类型合作的厂商为数甚少。Gartner分析师Lawrence Orans说厂商伙伴关系对于制定决策是一个重要因素。此外，一些类型仍然主要以windows为中心，而网络分析却不是。“我的确看到人们将两个或两个以上的类型结合在一起，需要有更多的厂商这样做，”他补充道。

Gartner报告包含了很多“类型”的逻辑组合建议。Gartner还指出，一些厂商，尤其是较大地区的厂商，已经正在交付整合两个或更多类型的产品。所以，企业选择单一供应商可能带来的负面影响就是“他们从注重单一类型的业务公司牺牲了最佳组合的功能。”

针对抵御窃取企业数据的先进持续威胁，Gartner定义的五种类型框架并不意味着放弃传统安全工具如杀毒软件，Orans说。五个类型框架是专门为那些愿意倾尽全力专注尝试各种方法来抵御危险入侵的企业安全管理人员而设计的。