APT-атаки считаются сложными в выявлении и противодействии по нескольким причинам:

• Тщательное планирование. 15 Злоумышленники долго собирают информацию о компании, в частности, о системах защиты и инфраструктуре в целом. 5 Только после этого разрабатывается индивидуальный план преодоления мер безопасности и достижения конечной цели. 1
• Использование сложного вредоносного ПО. 2 Для взлома, маскировки и выполнения деструктивных действий APT-атаки используют технически сложное, зачастую уникальное ПО, которое заточено под конкретную жертву. 2 Стандартные антивирусные средства могут быть бессильны. 2
• Уклонение от обнаружения. 1 Если цель становится подозрительной, её безопасность могут усилить, что значительно затруднит проникновение. 1 Защита может обнаружить злоумышленника в середине атаки и остановить его, что сведёт на нет месяцы работы. 1
• Растянутость во времени. 5 Профессиональная атака состоит из нескольких этапов, каждый из которых требует времени и ресурсов. 5 Наибольшее количество времени тратится на разведку, изучение и перемещение в инфраструктуре. 5

В среднем, обнаружение APT-атаки происходит спустя 200 дней после её начала. 3 И даже после установления факта присутствия APT в своей сети компании не всегда способны избавиться от угрозы или хотя бы минимизировать её влияние. 3