网络安全策略：一个“经典”和两个“新”

    　　从安全的角度来看，这些包括包括网络设备扩张在内的互联网变化，导致攻击面的相应增加。现在IT运维的使命已远非保护大量已知和封闭的IT边界，而是必须准备抵御任何能够创新出来的针对人类网络设备安全的威胁。显然，如果不是扩建到更大的范围，而是仅仅使用已经建立的安全措施将是远远不够的。

　　简单地说，我们需要另辟蹊径，重新思考网络安全的概念。

　　一个经典策略和两个新策略

　　以上这些威胁听起来很势不可挡，因为这些包含了对资产和财产的损害以及对利用信息技术的人们的伤害。然而，我仍然乐观地相信依然有应对的策略。具有讽刺意味的是，其中一些旧的策略又变成新的方法，主要有三点：

　　做好基本工作

　　这包括及时对软件进行修补、用户身份管理、网络管理，来在你基础设施上的任何黑暗空间。主要目标包括减少可能的攻击面并在适当授权的原则基础之上建立资源访问路径。甚至只是更好的修补都可以减少70%的攻击面。执行资产库存的企业往往惊讶于之前发现了多少接入其网络的非法系统。

　　这种基于基础的策略听起来可能很普通，但当考虑到如今IT运营必须保障的设备和系统之多样时，这会是非常抢手的。一个汇集了新的强密码、联合身份、权限管理和异常行为检测技术的复杂身份管理程序，在短短几年前还是不可能实现的。但它能改善安全团队预防、预见安全事故的能力。

　　营造假象

　　有很多方法可以做到这一点。你可以通过先改变地址、基础设施拓扑和每天的可用资源，来让你的基础设施成为一个移动的目标。一位活跃分子的虚拟化方法可以建立和彻底资源。SDN技术可以将欺诈过程进行虚拟化，同时精简构建安全管理和控制网络结构特性的过程。简而言之，尽你所能地防止对手看到两次相同的基础设施。

　　你还可以在你网络上设定蜜罐和虚假的程序，这能够消耗对手大把的时间，把他们的关注点从真正的资产数据中转移出来，诱使他们进入伪造的知识产权，或让他们跌跌绊绊撞到警报，来告知你他们正存在于你的领域。先进的是，这些技术可以动摇对手的信心及攻击能力，增加他们畏惧被抓获、暴露和被起诉的焦虑感。

　　多收集、关联并分析可操作的数据

　　这种策略十分重要，因为它意味着网络治理模式的转变，当攻击正在发生时能够迅速彻底地检测和击败攻击和入侵。你可以从数据中寻找攻击指标（IoCs）：异常指标设备或用户行为、来自或者流向已知地址的网络流量及其他举报。数据分析范围从基础设施，到超越基础设施的包括当地遥测信息和情报等信息，以及不符合正常活动模式的数据流量。

　　改变精神意志很关键

　　从前，我们认为网络安全是维护IT边界并坚固对资产的攻击防御。新模型需要假定如果人、事及业务流程没有受到攻击，他们会很快起作用。建立起来的安全工具和产品，如防火墙、安全设备、或反恶意软件的软件已经做好了阻断已知威胁的准备，能够让我们通过基本的防御来自由地探测、识别和控制并管理这些威胁.
本文来自：网络安全技术培训 http://www.h***