似乎每天你都會讀到零日漏洞攻擊的內容，死而復生或另一個新的的僵尸網絡攻擊，針對企業終端的更具創新性的攻擊方式，有時甚至以上所有。這些攻擊甚至使得最強悍的網絡安全專家欲哭無淚。

但是將你的頭埋在沙里不去面對是無法解決問題的，而且也不能幫助我們實現保護公司信息資產的目的。我最近就網絡安全問題和很多人進行了討論，最終意識到組織不再相信他們的終端。這要求我們從根本上以完全不同的方式來思考網絡安全問題。

我知道，放棄保護終端這個觀點摧毀了我們這些年所被教導的做事方法。那你們覺得深度防護安全模型怎么樣呢?分層安全保障體系又如何呢?如果將一個關鍵層從混合層里面分離出來，又會怎樣呢?好吧，讓我從不同的角度來問這個問題吧。你現在的終端保護是怎樣為你工作的呢?是的，我也是這樣認為的。我了解到有些人沒有辦法放棄終端保護，因為審計師仍然要求你們做愚蠢的檢查清單和確保AV box檢查過了。所以總的來說是這樣的：你可能依然不得不“保護”你的終端，但是你并沒有期望那些控件能真正起作用，防止終端感染。

要明確的是，分層安全保障體系仍然是一個好主意。如果你的終端即將有一個缺口，至少讓攻擊者費一些力氣才能攻破。關鍵是實現你保護的基礎設施能在你的分層安全體系內，因為你越來越不能控制終端了—特別是在如今擁有自帶設備的世界。或許是一個承包商為了解救一個混亂的開發項目而帶來的個人筆記本電腦;或許是一個生意上的伙伴訪問了你的系統;或許是你的董事會成員用他們的新ipads訪問了公司郵件。不管怎樣，你不能控制這些設備，而且不值得花費精力去部署設備然后實施恰當的安全控制。

很容易能預見終端會被攻擊的，即使不是現在。那些煩人的用戶一直點擊廣告，我們都知道那會造成怎樣的后果。然后呢，我們要做什么?首先，讓我們處理這些終端。我建議你認為它已經失敗了，要重塑它。今天的惡意軟件是不會真正的被清理干凈的，甚至不要去嘗試清理它們。安裝一個全新的操作系統吧。如果有良好的備份過程，受感染的用戶并不會丟失太多的數據。

因為我們假定終端是不可信的，所以我們需要在網絡層保護數據，這就是網絡分段。我們需要很多的網絡分段。你想要使你真正敏感的信息都躲在一個高墻之下，每個想要通過高墻訪問數據的人或設備都要求嚴格的身份驗證，敏感網絡的所有交易都得到監控和流量抓獲。這些控件并不是萬能藥，但是你可以使別人很難訪問你的重要數據更難，泄露它就更難了。

對于不太重要的數據，你可以實施不太嚴格的控制。可能只是確保連接到你的網絡的設備不充滿惡意軟件。而且你可以看這些網絡連接設備做了什么(通過看應用網絡流量)來確保他們沒有正在嘗試做一些蠢事，如果它們在偵察，這可能暗示著是一個主動的攻擊者在試圖做壞事。

對于幾年前鏟除網絡污垢的網絡訪問控制(NAC)公司來說，他們的技術非常適用于處理不可信終端。在連接時你要評估每個終端，基于設備類型，安全態勢，認證方法和其它各種政策觸發器來決定什么網絡是他們可以連接的。

一個精明的攻擊者可以擊敗網絡分段和網絡訪問控制設備分配設備到特定網絡分段的方法嗎?當然可以，這就是為什么監控你的敏感網絡很重要。是的，這需要使用一個安全信息和事件管理(SIEM)，系統不只是監控和分析控制你重要數據的事件和設備配置，而且可能要對一些非常敏感的分段做完整的數據包捕獲。為什么?因為你想要確保當發生意外時，你有足夠的數據來進行法律調查。記住，你不可能完全消除安全破壞的風險。但是你可以給攻擊者加大難度。