La più diffusa forma di contrasto alle minacce di tipo APT (Advanced Persistent Threat) consiste nelle funzionalità sandboxing on-board e basate su cloud ad alte prestazioni nell'ambito di una strategia di sicurezza unificata.
Entrando nel dettaglio, Fortinet ha identificato i cinque principali exploit ed estrazione di dati più probabilmente condotti da un attacco APT. Conoscerli aiuta a identificare questi potenziali exploit zero-day:
1. Generazione casuale di indirizzi IP. Alcuni payload APT includono codice che genera casualmente stringhe di indirizzi IP per favorire la diffusione.
2. Tentativi di connessione per assumere il comando e il controllo. Una volta infiltrate, le APT possono connettersi a un server di comando e controllo per estrarre dati o segnalare ulteriori risorse di attacco, ad esempio tramite una botnet. L’identificazione si basa su firme di controllo e rilevamento di tipo "rendezvous".
3. Imitazione dell'host. Un'APT può iniziare a imitare il comportamento del dispositivo o dell'applicazione host nel tentativo di eludere il rilevamento.
4. Oscuramento JavaScript. I casi di attacchi APT documentati hanno fatto ricorso a numerose tecniche per oscurare il significato e l'intento reali del codice JavaScript dannoso.
5. Traffico crittografato. La tendenza all'uso di malware crittografato all'interno dei payload APT mette a serio rischio tutto il traffico crittografato.
A fine 2012 Fortinet ha rilasciato la versione 5 di FortiOS, il proprio sistema operativo per la sicurezza che contiene le misure volte a contrastare le minacce APT e le nuove funzionalità di sandboxing on-board e basate su cloud per l'eliminazione di malware sconosciuto, a complemento del suo esclusivo processore "Compact Pattern Recognition Language" che consente a singole firme di coprire oltre 50.000 virus diversi, incluse le varianti zero-day.