數年前，網絡安全行業有種新思維：

網絡安全控制不是特別有效；

因此，高級網絡對手可以輕易繞過它們，入侵網絡，執行數據竊取；

而且，試圖預防攻擊基本上是徒勞無功的，所以公司企業應將注意力集中在事件檢測和響應上。

這條思路受到業界野火般蔓延的一句超簡單格言支持：

公司分兩類：已經被入侵的，以及被入侵了還毫無所覺的。

這種論斷存有幾分真實性。過去的很多安全技術都漏成篩子了，因為它們就是設計來解決已知威脅而非零日威脅的。而且，相對而言，網絡對攻擊非常開放。

面對這些弱點，很多公司都轉向了為威脅檢測而設計的新技術——惡意軟件沙箱、用戶實體行為分析(UEBA)、終端檢測響應(EDR)、網絡安全分析等等。于是，發生了什么呢？公司很快便被各自為戰的各種技術、汪洋大海般的新安全數據，以及刺耳的安全警報聲給淹沒。然后，很多公司意識到，他們既沒有足夠的員工，也沒有相應的技術來充分利用起該威脅檢測技術。而且，大面積網絡安全人才短缺的事實，也意味著這一情況不會很快得到解決。

這里就有2個問題：

1) 安全控制無甚效果，于是大量壞員工紛紛接入網絡；

2) 威脅檢測噪音太多且復雜難用。

新型高級威脅預防技術

幸運的是，變化即將到來。網絡安全技術供應商正在引入一波可被稱之為高級威脅預防的技術。這些工具在封堵漏洞利用、攻擊方法和惡意軟件上出色得多，且還能大幅減小攻擊界面。這就衍生出降低威脅檢測噪音和復雜性的效果了。

隨著這些技術的到來和成熟，領先企業將會藉由對以下技術的開發，讓2018年成為高級威脅預防年：

1. 下一代終端安全軟件

此處的重大技術進展，是惡意軟件檢測/封鎖實時分析及機器學習算法的引入。這些創新，令對所有威脅類型的檢測/封鎖效率得到了大幅提升。Cylance在幾年前就攜機器學習橫空出世，攪亂了終端安全市場的一池春水。自此，其他廠商，比如CrowdStrike、邁克菲、Sophos(Invincea)、賽門鐵克和趨勢科技，也加入了類似功能。明年，CISO們也將迅速跟進此方向。

2. 威脅情報網關

過去幾年，操作化威脅情報的努力一直沒斷，但此項工作很難開展。威脅情報網關，例如：Centripetal Networks、Ixia、LookingGlass Networks等，則可以通過威脅評分和網絡邊界級攔阻，轉變這項勞動密集型工作。為什么不用久經驗證的防火墻來干這事兒呢？因為在追蹤/封堵大量威脅上，防火墻做不到專門打造的威脅情報網關那么好。

3. 安全DNS

與威脅網關關系緊密，安全DNS服務也用于自動追蹤并封堵惡意域名、區域和相關IP地址。思科OpenDNS就是其中佼佼者。但其他廠商，包括Comodo、Infoblox和Neustar，也提供類似服務。值得指出的是，還有很多免費的安全DNS服務，如IBM最近發布的Quad9。

4. 微隔離

思科ACI和VMware NSX之類的技術，將防火墻、訪問控制列表(ACL)和網絡分隔的概念，與基于軟件的策略管理及實現結合了起來。其他廠商（Illumio、vArmour、ShieldX等）也提供相似的多平臺功能。2018年，CISO會更普遍地使用這些技術，不僅僅局限在數據中心，目的就是要大幅減小整體攻擊界面。

5. 智能應用控制

有沒有什么工具可以做到：分析應用，確定正常行為基線，然后在出現混亂的時候發出警報，或者鎖定表征異常/可疑行為的活動？嗯，Edgewise、VMware AppDefense和ThreatStack或許可以。

雖然真的沒有什么安全技術是設置好就可以再也不管的，這些工具確實用不著像遺留安全控制/監視/分析系統那么頻繁的關注和饋送。這意味著，CISO不需要龐大的團隊，不需要長達數月的部署/定制，不需要數周的員工培訓，就可以享受到這些安全投資帶來的好處。

有個老梗：兩個人被熊追，第一個人說“沒用的，熊比我們跑得快多了”，第二個人說，“我不需要跑得比熊快，我跑贏你就夠了”。在網絡安全領域，網絡罪犯、黑客主義者和國家支持的網絡對手，就是熊。高級威脅預防不是萬靈藥，但聰明的CISO，會利用這些工具，跑在依靠初級安全控制而門戶大開的其他公司前面。