網(wǎng)絡(luò)越透明，越有利于早期檢測

無論是否已被黑，安然無恙地享受聯(lián)網(wǎng)生活的幾率，就跟河北想要看到純凈的藍天一樣渺茫。各種角度看來，當(dāng)前的網(wǎng)絡(luò)安全狀況都十分令人擔(dān)憂。

試想一下。CIA夠安全了吧？入職之前要經(jīng)過嚴(yán)密的背景調(diào)查，拿個安全許可和確定個密級還要經(jīng)過測謊。中國式丈母娘審查在CIA面前根本不夠看。

然而，惡意內(nèi)部人依然可以帶著大批CIA黑客工具揚長而去。

內(nèi)鬼的可怕

情報機構(gòu)無法保護自身免受內(nèi)部人和丑聞困擾是挺令人憂傷的。路透社曾報道，政府機構(gòu)估測，每6千到8千名雇員中間，就會出一個內(nèi)部人威脅。百分比看起來蠻低的，但如果考慮到全國、全省、全州、全市和社區(qū)街道辦的政府雇員人數(shù)呢？出了一例數(shù)據(jù)泄露，余波震蕩都有可能深遠到難以想象，比如大部分中國人都離不開的12306用戶數(shù)據(jù)泄露事件(似乎21號又泄了……)。

而且，人類總是很奇怪的。某種程度上而言，只要是人，都有可能被收買。本就不怎么堅定的人，自然會為了名利就出賣國家；即便單純愛國愛家，在誤導(dǎo)性理念或信仰影響下，做出同樣的賣國行為也不是不可能。于是，無論動機為何，牽涉到網(wǎng)絡(luò)安全的時候，任何組織的最終目標(biāo)都是：攔住那幫該死的壞人。

如果全都攔下不是可選項，那我們可以選擇什么？或許，是時候轉(zhuǎn)變焦點，成為威脅檢測、預(yù)測和響應(yīng)的專家了。這三者合一，便可鑄造現(xiàn)代安全架構(gòu)的基石，通往全面且持續(xù)的監(jiān)測和高級行為分析，發(fā)現(xiàn)任何偷溜進來的壞蛋，甚或由好變壞的腐壞分子。

網(wǎng)絡(luò)可見性是王道

正如CIA黑客工具泄露事件所揭示的，無論準(zhǔn)備有多充分，不管應(yīng)用了多少策略和規(guī)程，不論多么想保持健康，壞事總會發(fā)生。

網(wǎng)絡(luò)流量可見性解決方案有些像是X光透視，都是用來輔助檢測異常(潛在的內(nèi)部小惡魔)以供進一步分析的。

即便X光檢查不能治愈癌癥，流量可見性也擋不住數(shù)據(jù)泄露，但它們可以提供更好的態(tài)勢感知。感知可是發(fā)現(xiàn)潛在問題，打造其他定制安全和分析工具的第一步，可以供分析師像病理學(xué)家做活檢確定腫瘤良性還是惡性一樣，確定流量異常的危害性。有了診斷結(jié)果，公司企業(yè)就可利用該情報制定接下來的行動步驟了。

工具需要上下文才能區(qū)別好壞。換句話說，要具備對網(wǎng)絡(luò)流量100%的可見性。沒有完全可見性，惡意軟件防護工具就無法確定可執(zhí)行文件到底是好是壞；數(shù)據(jù)泄露防護工具就無法決策文檔應(yīng)不應(yīng)該被允許發(fā)送出網(wǎng)絡(luò)。講真，如果不能提供工具起效所需的流量可見性，你弄個工具是為了擺那兒好看嗎？

越好越全面的網(wǎng)絡(luò)透明度，可以帶來更好的早期檢測機會。能在壞人有機會篡改或滲漏數(shù)據(jù)(階段0)之前就逮到他，總比他已經(jīng)侵入全部系統(tǒng)，卷走所有重要資產(chǎn)逃之夭夭(階段4)的情況要好很多。

人們總覺自己不會那么倒霉被黑客攻擊，總感覺被黑的都是其他公司，其他人。然而，或遲或早，總會輪到自己的。于是，我們首先要問問自己：能不能在黑客事件發(fā)生時識別出來？或者，更重要的，有沒有能力做出恰當(dāng)?shù)姆磻?yīng)？