在面對APT,企業到底該有什麼樣的資安思維呢?相較之下,從前的資安防護工作相當簡單直接,有病毒就買防毒產品,要過濾垃圾郵件就找Anti-Spam,但現在的攻擊手法不比以往,尤其在面對Gartner報告中被形容「具超越現有安全防護機制,並能躲過傳統檢測過濾特徵」的APT攻擊,邱銘彰強調用戶要先有「你一定會被入侵」的體認,就如同實體隔離依然會遭到攻擊入侵一樣的道理。
既然一定會被入侵,那建置APT或其他相關防禦機制的意義何在?「在增加攻擊門檻,你要讓對方了解到發動攻擊的成本會不斷提高」,邱銘彰如此解釋。正因為無法完全抵擋APT的入侵,所以他也提到需強化企業資安專業團隊的回應能力。
因為APT攻擊通常會有持續性,從「第一次成功滲透到企業環境,然後潛伏,並伺機感染重要電腦以取得機密資料後傳出去」的流程來看,APT入侵成功後不一定馬上會造成危害,企業仍可把握後續潛藏破壞階段藉由資安團隊的事件回應處理及早發現並清除APT攻擊來減少可能的損失,以建構出感知(Observation)、辨識(Detection)與預防(Prevention)的新防禦模型(如下圖所示)。