雖然公司企業總是希望盡可能快地找出威脅，但理想也總是那么遙不可及。平均來看，駐留時間會持續數月，網絡罪犯有充足的時間逡巡網絡，抽取有價值信息，影響公司、客戶以及雇員。

如果公司沒有實時檢測能力，沒有為這些事件做好準備，那他們就總會處于特別脆弱的狀態。對工具和策略進行重新評估是個不錯的主意。以下是一些最常見的風險事件和能夠幫助你成功應對的建議：

1. 物聯網接入

任何聯網設備都可成為黑客的切入點，隨著越來越多的公司開始使用物聯網設備(IoT)，他們需要準備好識別新設備上的潛在攻擊。

正在實現IoT的公司應考慮一下網絡重設計，用強訪問控制將IoT設備與其他內部網絡進行隔離。可以部署異常檢測技術，來給IoT網段和內部及外部網絡的正常行為定個基線。該持續的監視將有助于發現不正常網絡行為。

2. 合作伙伴

塔吉特百貨的大規模數據泄露，就是黑客通過空調公司進入網絡的結果。每當公司向新廠商或合作伙伴授予網絡訪問權的時候，他們都應當密切注意不正常活動。有那么幾個步驟可以有效做到這一點。

首先，優先處理廠商/合作伙伴訪問公司資源的管理和安全，勤于在合同終止時清除訪問授權。另外，將廠商VPN訪問限制在某已知IP段內，并在內部公布該IP列表。最后，部署分析工具以近實時地檢測來自這些IP地址的異常行為。此外，利用第三方安全風險評級服務(SRS）（《安全領域新概念：安全評級服務的興起》)不失為一個方便快捷的手段。

3. 合并與收購

將兩個之前各自獨立的公司網絡合并起來是個危險的活計。黑客暢游網絡的駐留時間可長達數月。如果有黑客已經侵占了公司A的網絡，通過融合，你也就給了他公司B（及并購后的公司）的鑰匙。

事前準備是規避此類場景的關鍵。在連接基礎設施之前，對每家公司的基礎設施都做個網絡和安全評估。然后，部署分析工具來對網絡行為定個基準，盡快對合并的網絡進行數據記錄以便能監視異常行為。

4. 新增物理位置

無論是新的公司大樓，還是零售門店，或者快餐連鎖，跟著這些新位置而來的基礎設施，都有可能引入新的漏洞。除了添加標準控制，公司面對這種狀況還應該考慮部署分析工具，執行“種群分析”，以確定新位置在其網絡和應用日志數據中展現的行為，是否異于其他地點的行為。

5. 修復或更新軟件

復雜環境中，一個地方的改變，可能會無意地影響到其他某個地方。很多案例都顯示，這可能產生新的漏洞，為黑客開啟方便之門。

成功修復或更新，歸根結底是使用良好的IT規程。比如說，確保跟IT安全團隊溝通計劃好的升級。然后，定義升級后勤勉期，在此期間對安全日志進行額外的詳細審查。

6. 引入新硬件

這可能包含任何硬件，從服務器到新的移動設備。每當向網絡中引入新硬件時，你都會遇到很多之前不知道的東西。而未知之物，就有可能傷害到你。

確保新服務器上運行的所有軟件都打了補丁，是個不錯的實踐。檢查與該硬件或軟件相關的每個已知漏洞。與軟件升級最佳實踐類似，要跟IT安全團隊溝通計劃硬件升級事宜。然后，創建升級后勤勉期，對安全日志進行額外的詳細審查——推薦使用自動化分析工具。

7. 員工入職

很多公司都會在同一時段迎入新人，比如說，在他們招聘并培訓了新的大學畢業生的時候。這種情況下，他們就是在往公司網絡中引入帶有獨特新行為的大量新用戶，可能還有新設備。這些新用戶增加了被黑或數據被泄的機會(無論有意還是無意地)。

面對該成長期的第一步，是強調公司策略和良好IT安全實踐。確保定期強化這些策略和實踐。然后，考慮部署用戶行為分析(UBA)來為新用戶建模，將他們的風險與公司其他員工組做對比。

8. 員工離職

裁員、倒閉或辭職之類的事件——尤其是在非自愿的時候，可能會引發亂流，增加出自熟知公司數據、網絡和應用的員工之手的惡意行為發生機會。

這些敏感時段中，企業應強調身份及訪問管理(IAM)。應勤于清除對所有資源的訪問權，無論是公司內的，還是云端的。最后，定義更新后的勤勉期，使用自動化異常檢測來執行對安全日志的額外審查。·