美國特勤局的核心使命是保護美國總統(tǒng)，自特勤局開始保護總統(tǒng)起的110年里，只有7名攻擊者切實侵入到了總統(tǒng)身邊，且只有1名完成了他的任務(wù)，盡管總統(tǒng)每年都有數(shù)百場公眾活動，任期內(nèi)要會見成千上萬人，特勤局依舊保持著這幾近不敗的記錄，可謂戰(zhàn)績彪炳。

網(wǎng)絡(luò)安全防御者面臨類似的問題：他們要防護必須被保護的高價值資產(chǎn)，同時又不得不跟成百上千臺其他服務(wù)器通信。不過，我們的網(wǎng)絡(luò)安全記錄可不怎么好看——2015年一年就發(fā)生了2260起數(shù)據(jù)泄露事件，絕大多數(shù)入侵者還是幾分鐘之內(nèi)就攻破系統(tǒng)，而大多數(shù)防御者要幾天之后才醒悟到泄露的發(fā)生。

特勤局一直以來都面對各種重大挑戰(zhàn)，也將繼續(xù)面對下去。不過，任何如此成功地應(yīng)用了制度偏執(zhí)的組織，必然在安全領(lǐng)域有可供他人參考的地方。

以下便是網(wǎng)絡(luò)安全防御者可從特勤局習(xí)得的4招：

1. 你保護不了自己都看不見的東西

護衛(wèi)任何地方的第一步，就是發(fā)現(xiàn)潛在的攻擊路線。但即便到了今天，大多數(shù)網(wǎng)絡(luò)安全防御，還是建立在靠記憶在餐巾紙上畫出的網(wǎng)絡(luò)拓撲一樣的東西上。

事實上，近些年的每個重大入侵，都依賴攻擊者對目標網(wǎng)絡(luò)有著比防御者更好的認知上。2014 Carbanak 銀行劫案就是個絕佳案例——數(shù)百次入侵，偷掉10億美元，每次入侵都耗費上至4個月時間對目標網(wǎng)絡(luò)進行偵察。更近一些的入侵，從孟加拉央行到美國人事管理局(OPM)，也都符合相同的模式。

防御者常常對他們數(shù)據(jù)中心的實時運營只有最小的可見性，意味著他們知道自己的系統(tǒng)該怎樣運轉(zhuǎn)，但不知道它們實際上在怎么運行。攻擊者就利用了這一缺口。特勤局會從攻擊者的角度描繪運作環(huán)境，不這么干的防御者面對如今普遍調(diào)查詳細決心堅定的入侵，自然就特別脆弱漏洞百出了。

2. 僅有可見性還不夠——必須減小自己的攻擊界面

無論是用繩索、柵欄、高墻還是帳篷，特勤局絕少會留掌控不到的地方。每塊環(huán)境都有很多攻擊路線，全部監(jiān)視起來將會耗盡所有可用資源。但通過限制通向總統(tǒng)的路徑，特勤局減少了風(fēng)險，也能將資源集中到最有效的地方。

筆者當前職業(yè)，是帶領(lǐng)團隊周期性分析數(shù)據(jù)中心和云環(huán)境，幫助企業(yè)發(fā)現(xiàn)并關(guān)閉他們的攻擊界面。我們發(fā)現(xiàn)，即使只有100臺服務(wù)器的數(shù)據(jù)中心，服務(wù)器之間也存在有幾十萬個開放的端到端的通信路徑。監(jiān)視這么多路徑，會讓防御者淹沒在警報和誤報中，也就讓公司無法分辨出究竟哪個才是最重要的。我們還發(fā)現(xiàn)，很多公司只用了不到3%的路徑，引出一個簡單的問題：那為什么要留著其他的開放端口呢？適應(yīng)性分段就是數(shù)字版路障和繩線，是讓網(wǎng)絡(luò)安全防御者去除噪音，專注嚴重威脅的基礎(chǔ)。

3. 給你的安全劃分優(yōu)先級

限制了攻擊路線數(shù)量，形成最大風(fēng)險的那些威脅便顯露出來了。特勤局將其最寶貴資源——特工和監(jiān)視攝像頭，放置在最重要的交叉口和路徑上。

很多網(wǎng)絡(luò)安全防御者還在試圖以平等對待每個服務(wù)器的方式保護他們的數(shù)據(jù)中心。如果你不視覺化自己的數(shù)據(jù)中心并采取措施減小攻擊界面，那你別無選擇，只能這么干。但這么做，會將防御者置于極度不利的地位，因為你服務(wù)器之間有幾十萬條那么多的路徑，幾乎不可能分辨出哪些是最重要的。而一旦我們對環(huán)境采取控制，減少這些通路，最危險的開放路徑就會浮現(xiàn)出來：哪些路徑可以讓攻擊者從開發(fā)移動到產(chǎn)品？哪些路徑會讓攻擊者接觸到高價值資產(chǎn)？

正如簡化環(huán)境讓特勤局得以更好地遂行護衛(wèi)工作，簡化服務(wù)器間的通信路徑，也意味著你可以更快識別出數(shù)據(jù)中心里最危險的點，更有效地使用所有其他安全工具——蜜罐、入侵檢測系統(tǒng)、行為分析、狩獵等等。

4. 專注于最有價值資產(chǎn)的安全后果

特勤局主要憂心總統(tǒng)面臨的威脅的鄰近度。有人穿越白宮柵欄就是個問題，因為這會讓他們離總統(tǒng)更近。但這不意味著特勤局指望沒人越過柵欄。實際上，有入侵者越過柵欄，但在草坪上被制服，正是安保應(yīng)有的工作模式。柵欄阻擋了很多潛在闖入者，拖慢了闖入意志更堅定的人，這樣他們就能在走得更遠之前被阻住。

網(wǎng)絡(luò)安全防御者依然經(jīng)常覺得，任何對他們數(shù)據(jù)中心的入侵都意味著安保失敗。但統(tǒng)計數(shù)據(jù)越來越證明，將全部入侵者當在邊界之外是不可能的。最近的一個研究發(fā)現(xiàn)，2015年，75%的公司企業(yè)都至少被侵入過1次。特勤局明白這一挑戰(zhàn)，因為他們從未依賴僅僅一層防御。深度防御是網(wǎng)絡(luò)安全專家討論了有些時日的概念，但很多數(shù)據(jù)中心依然是只要攻擊突破邊界就束手無措的狀態(tài)。

入侵者有兩個目的：收集目標環(huán)境的信息，以及利用這些信息對高價值資產(chǎn)搞破壞。與其專注邊界，將之作為最重要的防線，我們更應(yīng)該轉(zhuǎn)變思維，將環(huán)繞高價值資產(chǎn)的圍柵筑成最高的圍墻。防線離高價值資產(chǎn)越遠，將“識別”作為我們的目標就越重要——而不是100%的抗?jié)B性。如果入侵者越過了外層邊界，但在穿越草坪時被抓住，那并非失敗的標志——而是安全系統(tǒng)照常運作的標志。