随着针对特定目标进行渗透的APT攻击日益猖獗，全球高效能网络安全厂商Fortinet，建议企业应制订全方位的安全策略，例如实行多层次资安防护、双因素认证，订定自带信息设备(BYOD)的使用规范，并落实系统主动更新修补、员工教育等等，才能有效防范APT的攻击。

所谓的进阶持续性渗透攻击(APT ; advance persistent threat)，最可怕的地方在于它是有针对性的，专门锁定特定的企业或组织，而且往往难以被察觉。Information Week在去年中旬就报导了一个潜藏多年的APT攻击，它专门针对巴基斯坦政府、全球矿业、汽车、军事和工程产业进行攻击。有人推测它的攻击时间始于2010年或更早。APT已经是企业无法以传统方式抵御的先进网络威胁。

台湾Fortinet技术总监刘乙表示，「APT的整个攻击程序是经过精心策划的。通常选定目标之后，会先针对该组织进行调查，包括其员工、安全政策、使用的应用程序和系统。接下来则是寻找最适合的攻击技术，先行感染其中一部计算机，植入能进行远程遥控的恶意软件。」

刘乙进一步指出，「一旦突破防线之后，就能轻易地将内部的数据，如密码、机密文件、电邮账号或其它有价信息，慢慢地送出给攻击者。而且，即使数据已遭窃取，恶意软件还是有可能继续潜藏在受害者的系统中而不被察觉，这些都是APT攻击的可怕之处。」

抵御APT需着重在全方位、多层次的防护策略，因为没有任何单一的网络安全功能，可以完全阻绝APT的攻击。Fortinet提供了一些有效的建议，能协助企业降低遭受APT攻击的风险，这些建议的措施包括 ：

1. 永续的安全伙伴：

与安全厂商建立稳定的伙伴关系，他们能为IT部门提供有用的情资，并且在安全事件发生时，给予及时的协助。

2. 多层次防护策略：利用多种安全功能来建立多层次的防护机制，例如网页过滤 / IP评价、黑白名单、应用程序控管、数据外泄防护(DLP)、入侵预防(IPS/IDS)、云端沙盒、端点控管和防毒等等。

3. 落实用户教育：教育员工了解网络威胁，并正确使用社交媒体非常重要。特别是会接触到机密数据的人员，更是要训练懂得如何处理数据。此外，除非有合理的需求，否则限制员工使用USB随身碟，也是保护网络的一个好方法。

4. 适当的网络区段 ：基本的网络分区有助于限制APT在网络内的散布。同时，也不需要让所有员工都能存取机密数据，最好依角色限制访问权限，这将有助于减轻遭受攻击的损害。

5. 主动修补更新系统：计算机安不安全取决于它的软件，一有修补或更新档案，应尽快更新。

6. 实行双因素验证：对远程和可能接触机密数据的用户，实行双因素验证是个不错的方法，就算用户的个人资料被窃取，还有第二道防线能增加攻击的难度。

7. 建立BYOD规范：针对员工自带设备(BYOD ; Bring You Own Device)建立严格规范非常重要，因为攻击者可以轻易地藉由入侵个人计算机、智能型手机或平板，来将恶意软件散布至企业网络中。

目前台湾已有许多知名企业，在Fortinet的协助下强化了网络架构与因应计划，能妥善地面对APT与其它的网络威胁。现今的IT管理人员必须能立即发现网络威胁的来源，降低攻击带来的冲击，并且能尽速回复各种网络服务，让企业随时随地专注于主要业务的营运，如此才能发挥IT部门最重要的核心价值。