數據已經成為安全業界的困擾。專家們和廠商們告訴企業，它們需要威脅情報、日志及其可以收集的任何蹤跡。事實上，處理所有的原數據已經成為一個重要的“大數據”問題。不幸的是，海量的數據記錄往往使復雜的攻擊變得難以捉摸，并且使我們對檢測入侵的能力感到信心不足。

攻擊者們還訪問企業使用的所有相同的監視工具，并且可以針對這些監視工具測試它們自己的工具和技術，以確保其不被檢測到。最老練的攻擊者往往利用以前未曾看到過的工具和漏洞。在識別和確認這類攻擊時，監視系統面臨著很大的壓力。從歷史上看，攻擊者們都能夠在被發現(往往是由一個第三方發現的)之前在受害者的網絡中呆停留長達幾個月的時間。

部分問題在于，企業的計算環境非常復雜且繁忙，因而很多敵對活動可以隱藏在噪音中。聰明的攻擊者可以通過同合法用戶一樣的方式來使用竊取的憑據連接數據庫，并且使用的與合法用戶相同的計算機。

我們不能簡單地依賴監視來檢測一般的開放性計算環境中的復雜攻擊。由于這些攻擊者可以長時間無法被檢測到，所以他們能夠在其危害被發現之前對系統造成巨大破壞。還有一個使問題更惡化的事實，就是Web瀏覽器等應用程序過于龐大和復雜，因而發現漏洞難度較大。由此帶來的結果是，為了勉強對付黑客攻擊，每年都要針對這些應用程序發布成千上萬的重大安全補丁。

對付這種情況的一種辦法是，創建一種使檢測可以更好地運行的環境，而且如果不能檢測到攻擊也不會自動地引起大面積的危害。據統計，黑客們利用僅僅是有限的少量應用程序漏洞，但針對這些程序的攻擊卻占據了絕大多數。如果企業重視監視和防御有限的這些易被攻擊的應用程序，攻擊者的日子就要難過得多。

這些關鍵應用程序應當運行在內部經強化的和最小化的虛擬環境中。這會帶來大量好處：

首先，簡化的環境使得監視和對異常的檢測更為簡單。由于應用程序數量少并且交互也有限，所以背景噪音的水平也會極大降低。在個人計算機中，幾乎任何活動都有發生的可能性，但是對于一個經強化的和最小化的虛擬機來說，只可能發生特定的問題。任何異常的發生都有可能標志著損害的產生。

其次，虛擬機可以從容地從主機環境中脫離。攻擊者可能損害應用程序，但這并不能使其可以訪問整個計算機、文件、網絡等。對于能夠擊敗甚至是最高級監視的攻擊者來說，這種方法提供了關鍵防護。

第三，這有可能清除攻擊者的惡意軟件和立足點，甚至在攻擊者能夠逃避監視和檢測時，也能夠做到對其絞殺。整個虛擬機可以根據需要進行清除和重新生成，因為虛擬機并沒有包含文檔或其它需要保存的其它數據。通過將虛擬機重置到一個已知的良好狀態，攻擊者就會被趕出系統，即使防御者并不知道是否有攻擊者的存在。

關注攻擊面并設計系統可以極大地增加企業監視工作的有效性，從而更快速地檢測并阻止入侵。而全面關注每個安全問題相當于沒有關注任何問題。通過重新改變戰場，使其符合企業利益，并且在部署和利用檢測工具性時講究策略，企業就可以在與攻擊者的較量中占據優勢。