IT安全如今已不再是保衛(不存在的)邊界，而是保護公司的受攻擊面。而云、移動性、BYOD(自帶設備)以及促進網絡架構和操作發生根本性變化的企業計算發展進步等已經讓公司的受攻擊面發生了極大的變化。

這意味著我們更多的是需要監視防火墻內部發生的事件，而不是哪些外部的東西正企圖進來。基于“1000個光點”模型的反攻擊理念與“挖護城河和建城堡”的防御模式形成了鮮明的對比。

理論上，這種發展正在加快安全公司成熟的速度，然而這種轉型未必能夠輕易地實現。不僅威脅情況發生了變化，領導層、技能、工具和所需預算也都在不斷地發生著變化。

 [[136333]]

因此，即便在高級商店中，基于邊界的防御實踐仍然停滯不前。以錯誤想法或錯誤理念為基礎的實踐如果任其發展將會妨礙快速檢測和響應。下面讓我們看一下其中的一些典型錯誤：

對防滲透過于迷信。解決方案：調整至“已經有受到了威脅的”心態。APT(高級持續性威脅)變得比以往更加厲害，現在已經不再是你的網絡是否被攻擊的問題，而是何時發生網絡攻擊的問題。我們應當相應地提升安全防護能力。與此同時，我們不應再將重點放在阻止滲透上，而是應當將重點放在對抗措施上，讓這些對抗措施進入到你的網絡當中。好消息是我們擁有一個優勢，大多數損失都發生在被滲透后的數個月內。為了規避探測，更好的理解公司行為，制作出可安全抵達真正目標的路線圖，黑客都傾向于使用“低強度慢速度”技術，每天只執行少量操作。

接受簡單的解釋。解決方案：進一步深挖根源。安全事件不能歸因為錯誤或事故。所有的證據都應當被仔細分析，惡意意圖必須要被考慮在內。由于你的安全團隊并不知道所有的對抗措施，在某種意義上他們處于劣勢。對于你的團隊來說，關鍵是要認真調查他們所看到的一切，以揭示其它一些不為人知的或是未被檢測到的相關要素。安全團隊必須一直假設他們只看到了拼圖的一半，要努力找到拼圖的其它剩余部分。

力求快速補救。解決方案：利用已知的情況。與盡可能地快速補救孤立的事件相反，安全團隊應當認真監視已知的情況，力爭搞清楚這些事件與環境中的其它要素之間的聯系，力求發現未知的情況。例如，某個程序的IP地址與已發現的惡意程序的IP地址相同，那么我們就可認定這個程序為一個之前未掌握的惡意程序。此外，當我們發現黑客所使用的工具很容易被檢測到，我們必須要考慮到黑客可能是故意使用這種工具，以此來分散和浪費防御者的精力。

將重點放在惡意軟件上。解決方案：將重點放在整個攻擊行為上。雖然檢測惡意軟件非常重要，但是將重點放在檢測單個端點上的孤立行為的解決方案將無法應對復雜的黑客攻擊。我們應當部署一個整體性的防御措施。利用自動化，尤其是分析和威脅情報，來查清楚整個惡意攻擊行動的來龍去脈，而不僅僅是局限在代碼上。注意，你的對手是人，惡意軟件只是他們手中最強大的工具之一，在他們的工具箱里還有許多這樣的工具。

花大量精力調查虛警。解決方案：讓調查實現自動化。由于許多安全解決方案都會產生大量零散的警報(許多是虛警)，安全團隊可能會花上大量的時間人工調查和驗證解決方案所發現的警報。這一漫長的過程可能會嚴重影響安全團隊解決真正問題，即是否受到了網絡攻擊。適當地使用自動化可以大幅提升工作效率，縮短檢測與響應時間，降低在攻擊中所蒙受的損失。如果預算妨礙了在這一流程中實現自動化，那么我們應當量化一下對自動化的投資價值，然后要求公司提供相應的資金。

與IT的許多領域一樣，網絡攻擊檢測即是一門藝術，也是一門科學。優秀分析師與普通分析師最大的不同之處是他的思維方式。避開這些錯誤思想不僅可讓安全團隊在進行檢測時更具戰略眼光，同時還可讓他們更好地利用手中的資源。