Al livello più elementare, una formazione regolare del personale può ridurre in modo significativo il rischio rappresentato dai fattori umani. L'errore umano è spesso l'anello più debole nella cybersecurity e le APT lo sfruttano spesso attraverso tecniche di social engineering. Disporre di un piano di risposta agli incidenti formalizzato e testato consente di agire in modo efficace e coordinato durante una violazione della sicurezza.
Le minacce persistenti avanzate (advanced persistent threat (APT) sono in continua evoluzione e per questo rappresentano una vera e propria sfida per i team di sicurezza. Questa evoluzione mette a dura prova la loro capacità di monitorare e di mitigare le minacce, nonché di resistere alle loro conseguenze. I team di sicurezza possono rilevare e rispondere alle minacce avanzate utilizzando il MITRE ATT&CK Framework, una knowledge base globale delle tattiche e delle tecniche usate dagli aggressori.
Le limitazioni di budget e la persistente carenza di professionisti qualificati lasciano i Security Operations Center (SOC), i Managed Security Services Provider (MSSP) e i team di sicurezza interni privi delle risorse necessarie. Il continuo aumento di attacchi informatici sofisticati ha portato a un aumento dei team di sicurezza che integrano i dati provenienti dagli strumenti di rilevamento standard con dati pratici di intelligence sulle minacce.
Le informazioni sulle minacce, se affiancate da sistemi Endpoint Detection and Response (EDR), diventano un formidabile alleato. L'estensione dell'EDR ai feed e la creazione di Extended Detection and Response (XDR) aiutano le organizzazioni a sfruttare la visibilità su tutti gli asset e i dispositivi di rete per individuare potenziali punti di ingresso per le APT.
L'analisi approfondita dei log da parte di un team non permette di distinguere in tempo reale le attività malevole da quelle legittime. Pertanto, una buona difesa informatica è una soluzione di difesa informatica automatizzata e intelligente che sfrutta l'intelligence sulle minacce informatiche e meccanismi di difesa avanzati per dare la caccia agli aggressori.
Molte organizzazioni collaborano con aziende di cybersecurity per l'adozione di strategie di difesa avanzate, implementando sensori, utilizzando dati di intelligence sulle minacce, indicatori di compromissione (IOC) e web application firewall (WAF). Queste partnership sono fondamentali per fornire risultati facilmente consultabili nella caccia alle minacce, con l'obiettivo di ricercare in modo proattivo gli indicatori delle attività APT all'interno dell'impronta multicloud o ibrida di un'organizzazione.