IT安全如今已不再是保衛(wèi)(不存在的)邊界，而是保護(hù)公司的受攻擊面。而云、移動(dòng)性、BYOD(自帶設(shè)備)以及促進(jìn)網(wǎng)絡(luò)架構(gòu)和操作發(fā)生根本性變化的企業(yè)計(jì)算發(fā)展進(jìn)步等已經(jīng)讓公司的受攻擊面發(fā)生了極大的變化。

這意味著我們更多的是需要監(jiān)視防火墻內(nèi)部發(fā)生的事件，而不是哪些外部的東西正企圖進(jìn)來。基于“1000個(gè)光點(diǎn)”模型的反攻擊理念與“挖護(hù)城河和建城堡”的防御模式形成了鮮明的對(duì)比。

理論上，這種發(fā)展正在加快安全公司成熟的速度，然而這種轉(zhuǎn)型未必能夠輕易地實(shí)現(xiàn)。不僅威脅情況發(fā)生了變化，領(lǐng)導(dǎo)層、技能、工具和所需預(yù)算也都在不斷地發(fā)生著變化。

 [[136333]]

因此，即便在高級(jí)商店中，基于邊界的防御實(shí)踐仍然停滯不前。以錯(cuò)誤想法或錯(cuò)誤理念為基礎(chǔ)的實(shí)踐如果任其發(fā)展將會(huì)妨礙快速檢測和響應(yīng)。下面讓我們看一下其中的一些典型錯(cuò)誤：

對(duì)防滲透過于迷信。解決方案：調(diào)整至“已經(jīng)有受到了威脅的”心態(tài)。APT(高級(jí)持續(xù)性威脅)變得比以往更加厲害，現(xiàn)在已經(jīng)不再是你的網(wǎng)絡(luò)是否被攻擊的問題，而是何時(shí)發(fā)生網(wǎng)絡(luò)攻擊的問題。我們應(yīng)當(dāng)相應(yīng)地提升安全防護(hù)能力。與此同時(shí)，我們不應(yīng)再將重點(diǎn)放在阻止?jié)B透上，而是應(yīng)當(dāng)將重點(diǎn)放在對(duì)抗措施上，讓這些對(duì)抗措施進(jìn)入到你的網(wǎng)絡(luò)當(dāng)中。好消息是我們擁有一個(gè)優(yōu)勢，大多數(shù)損失都發(fā)生在被滲透后的數(shù)個(gè)月內(nèi)。為了規(guī)避探測，更好的理解公司行為，制作出可安全抵達(dá)真正目標(biāo)的路線圖，黑客都傾向于使用“低強(qiáng)度慢速度”技術(shù)，每天只執(zhí)行少量操作。

接受簡單的解釋。解決方案：進(jìn)一步深挖根源。安全事件不能歸因?yàn)殄e(cuò)誤或事故。所有的證據(jù)都應(yīng)當(dāng)被仔細(xì)分析，惡意意圖必須要被考慮在內(nèi)。由于你的安全團(tuán)隊(duì)并不知道所有的對(duì)抗措施，在某種意義上他們處于劣勢。對(duì)于你的團(tuán)隊(duì)來說，關(guān)鍵是要認(rèn)真調(diào)查他們所看到的一切，以揭示其它一些不為人知的或是未被檢測到的相關(guān)要素。安全團(tuán)隊(duì)必須一直假設(shè)他們只看到了拼圖的一半，要努力找到拼圖的其它剩余部分。

力求快速補(bǔ)救。解決方案：利用已知的情況。與盡可能地快速補(bǔ)救孤立的事件相反，安全團(tuán)隊(duì)?wèi)?yīng)當(dāng)認(rèn)真監(jiān)視已知的情況，力爭搞清楚這些事件與環(huán)境中的其它要素之間的聯(lián)系，力求發(fā)現(xiàn)未知的情況。例如，某個(gè)程序的IP地址與已發(fā)現(xiàn)的惡意程序的IP地址相同，那么我們就可認(rèn)定這個(gè)程序?yàn)橐粋€(gè)之前未掌握的惡意程序。此外，當(dāng)我們發(fā)現(xiàn)黑客所使用的工具很容易被檢測到，我們必須要考慮到黑客可能是故意使用這種工具，以此來分散和浪費(fèi)防御者的精力。

將重點(diǎn)放在惡意軟件上。解決方案：將重點(diǎn)放在整個(gè)攻擊行為上。雖然檢測惡意軟件非常重要，但是將重點(diǎn)放在檢測單個(gè)端點(diǎn)上的孤立行為的解決方案將無法應(yīng)對(duì)復(fù)雜的黑客攻擊。我們應(yīng)當(dāng)部署一個(gè)整體性的防御措施。利用自動(dòng)化，尤其是分析和威脅情報(bào)，來查清楚整個(gè)惡意攻擊行動(dòng)的來龍去脈，而不僅僅是局限在代碼上。注意，你的對(duì)手是人，惡意軟件只是他們手中最強(qiáng)大的工具之一，在他們的工具箱里還有許多這樣的工具。

花大量精力調(diào)查虛警。解決方案：讓調(diào)查實(shí)現(xiàn)自動(dòng)化。由于許多安全解決方案都會(huì)產(chǎn)生大量零散的警報(bào)(許多是虛警)，安全團(tuán)隊(duì)可能會(huì)花上大量的時(shí)間人工調(diào)查和驗(yàn)證解決方案所發(fā)現(xiàn)的警報(bào)。這一漫長的過程可能會(huì)嚴(yán)重影響安全團(tuán)隊(duì)解決真正問題，即是否受到了網(wǎng)絡(luò)攻擊。適當(dāng)?shù)厥褂米詣?dòng)化可以大幅提升工作效率，縮短檢測與響應(yīng)時(shí)間，降低在攻擊中所蒙受的損失。如果預(yù)算妨礙了在這一流程中實(shí)現(xiàn)自動(dòng)化，那么我們應(yīng)當(dāng)量化一下對(duì)自動(dòng)化的投資價(jià)值，然后要求公司提供相應(yīng)的資金。

與IT的許多領(lǐng)域一樣，網(wǎng)絡(luò)攻擊檢測即是一門藝術(shù)，也是一門科學(xué)。優(yōu)秀分析師與普通分析師最大的不同之處是他的思維方式。避開這些錯(cuò)誤思想不僅可讓安全團(tuán)隊(duì)在進(jìn)行檢測時(shí)更具戰(zhàn)略眼光，同時(shí)還可讓他們更好地利用手中的資源。