美國特勤局的核心使命是保護美國總統，自特勤局開始保護總統起的110年里，只有7名攻擊者切實侵入到了總統身邊，且只有1名完成了他的任務，盡管總統每年都有數百場公眾活動，任期內要會見成千上萬人，特勤局依舊保持著這幾近不敗的記錄，可謂戰績彪炳。

網絡安全防御者面臨類似的問題：他們要防護必須被保護的高價值資產，同時又不得不跟成百上千臺其他服務器通信。不過，我們的網絡安全記錄可不怎么好看——2015年一年就發生了2260起數據泄露事件，絕大多數入侵者還是幾分鐘之內就攻破系統，而大多數防御者要幾天之后才醒悟到泄露的發生。

特勤局一直以來都面對各種重大挑戰，也將繼續面對下去。不過，任何如此成功地應用了制度偏執的組織，必然在安全領域有可供他人參考的地方。

以下便是網絡安全防御者可從特勤局習得的4招：

1. 你保護不了自己都看不見的東西

護衛任何地方的第一步，就是發現潛在的攻擊路線。但即便到了今天，大多數網絡安全防御，還是建立在靠記憶在餐巾紙上畫出的網絡拓撲一樣的東西上。

事實上，近些年的每個重大入侵，都依賴攻擊者對目標網絡有著比防御者更好的認知上。2014 Carbanak 銀行劫案就是個絕佳案例——數百次入侵，偷掉10億美元，每次入侵都耗費上至4個月時間對目標網絡進行偵察。更近一些的入侵，從孟加拉央行到美國人事管理局(OPM)，也都符合相同的模式。

防御者常常對他們數據中心的實時運營只有最小的可見性，意味著他們知道自己的系統該怎樣運轉，但不知道它們實際上在怎么運行。攻擊者就利用了這一缺口。特勤局會從攻擊者的角度描繪運作環境，不這么干的防御者面對如今普遍調查詳細決心堅定的入侵，自然就特別脆弱漏洞百出了。

2. 僅有可見性還不夠——必須減小自己的攻擊界面

無論是用繩索、柵欄、高墻還是帳篷，特勤局絕少會留掌控不到的地方。每塊環境都有很多攻擊路線，全部監視起來將會耗盡所有可用資源。但通過限制通向總統的路徑，特勤局減少了風險，也能將資源集中到最有效的地方。

筆者當前職業，是帶領團隊周期性分析數據中心和云環境，幫助企業發現并關閉他們的攻擊界面。我們發現，即使只有100臺服務器的數據中心，服務器之間也存在有幾十萬個開放的端到端的通信路徑。監視這么多路徑，會讓防御者淹沒在警報和誤報中，也就讓公司無法分辨出究竟哪個才是最重要的。我們還發現，很多公司只用了不到3%的路徑，引出一個簡單的問題：那為什么要留著其他的開放端口呢?適應性分段就是數字版路障和繩線，是讓網絡安全防御者去除噪音，專注嚴重威脅的基礎。

3. 給你的安全劃分優先級

限制了攻擊路線數量，形成最大風險的那些威脅便顯露出來了。特勤局將其最寶貴資源——特工和監視攝像頭，放置在最重要的交叉口和路徑上。

很多網絡安全防御者還在試圖以平等對待每個服務器的方式保護他們的數據中心。如果你不視覺化自己的數據中心并采取措施減小攻擊界面，那你別無選擇，只能這么干。但這么做，會將防御者置于極度不利的地位，因為你服務器之間有幾十萬條那么多的路徑，幾乎不可能分辨出哪些是最重要的。而一旦我們對環境采取控制，減少這些通路，最危險的開放路徑就會浮現出來：哪些路徑可以讓攻擊者從開發移動到產品?哪些路徑會讓攻擊者接觸到高價值資產?

正如簡化環境讓特勤局得以更好地遂行護衛工作，簡化服務器間的通信路徑，也意味著你可以更快識別出數據中心里最危險的點，更有效地使用所有其他安全工具——蜜罐、入侵檢測系統、行為分析、狩獵等等。

4. 專注于最有價值資產的安全后果

特勤局主要憂心總統面臨的威脅的鄰近度。有人穿越白宮柵欄就是個問題，因為這會讓他們離總統更近。但這不意味著特勤局指望沒人越過柵欄。實際上，有入侵者越過柵欄，但在草坪上被制服，正是安保應有的工作模式。柵欄阻擋了很多潛在闖入者，拖慢了闖入意志更堅定的人，這樣他們就能在走得更遠之前被阻住。

網絡安全防御者依然經常覺得，任何對他們數據中心的入侵都意味著安保失敗。但統計數據越來越證明，將全部入侵者當在邊界之外是不可能的。最近的一個研究發現，2015年，75%的公司企業都至少被侵入過1次。特勤局明白這一挑戰，因為他們從未依賴僅僅一層防御。深度防御是網絡安全專家討論了有些時日的概念，但很多數據中心依然是只要攻擊突破邊界就束手無措的狀態。

入侵者有兩個目的：收集目標環境的信息，以及利用這些信息對高價值資產搞破壞。與其專注邊界，將之作為最重要的防線，我們更應該轉變思維，將環繞高價值資產的圍柵筑成最高的圍墻。防線離高價值資產越遠，將“識別”作為我們的目標就越重要——而不是100%的抗滲性。如果入侵者越過了外層邊界，但在穿越草坪時被抓住，那并非失敗的標志——而是安全系統照常運作的標志。