著名的軍事家和哲學家孫子曰：“知彼知己者，百戰不殆。”兩千年前的這句名言放在時下網絡安全格局里是再恰當不過的了。私營部門和公共部門的安全負責人往往會忽略一些自己已經擁有的網絡防御能力的基本問題。就網絡安全領域而言，這可以歸結為以下的問題：“我是否知道我的內部控件在以應有的工作方式運作?我們的網絡狀況是否安全?”

了解內部弱點和漏洞在時下尤其重要。公司處于非活動期間時(例如美國最近的政府停擺時)，一些組織特別容易發生數據泄露。安全證書可能在非活動期間到期了，代理在此期間更虛弱更容易受到各種威脅。而且由于需要處理大量的積壓工作，安全團隊也無暇處理基本的安全任務。

要真正做好應對網絡威脅的準備，各組織就必須開始實施由內而外的安全視圖，同時要注重網絡的凈化。

網絡核心的凈化

傳統上業界的公司都傾向于基于以下的假設管理網絡安全：供應商的產品正常運行及產品的部署和配置是正確的。

但在驗證組織的網絡防御信息是否準確以及驗證無間隙或錯誤信息方面卻存在欠缺。代理商需要以連續的方式驗證控件，而不是將安全性測量視為單個快照。

美國國土安全部(DHS)最近通過推廣持續診斷和緩解(CDM https://www.dhs.gov/cdm)計劃也在強調這方面的工作。 CDM敦促政府機構通過持續監控達到實時了解自己的安全系統的目的。要拋棄靜態的滲透測試或審計轉用持續監控，因為持續監控可以在更長的時間里更全面地了解系統。如此代理商就可以針對控制是否可以保護關鍵資進行量化和驗證。而同時，安全負責人和團隊也可以使用更有意義的指標來管理自己的網絡安全計劃，可以推動決策的制定、優化運營并最終改善自己網絡的狀況。

“由內而外”地看待網絡安全

盡管諸如CDM等計劃取得了一些進展，但持續監控仍需要解決方案實施的驗證以及有關的數據。因此，私營公司和政府機構亟需采取以下“由內而外”的網絡安全方法：

1、確定漏洞的精確點

典型的漏洞點是組織自己的人員。安全負責人應該集中精力幫助自己的團隊了解團隊所需保衛的網絡特定部分里發起威脅者的行為。然后就是要通過測試事件響應過程而達到測試防御的目的。測試成員是否知道應該給誰打電話以及如何量化他們所看到的有關內容?他們是否將釣魚郵件轉發給了正確的收件人?安全負責人在了解了團隊如何應對實踐場景中的威脅后就可以確定要在哪些方面加強防御。

2、權衡網絡安全投資的投資回報率

政府花納稅人的錢時需謹而慎之，企業則須確保建立與合作伙伴和客戶的信任。組織必須在考慮網絡安全投資時驗證預期的投資回報率是可行的而不是假定預期的投資回報率是可行的，這一點尤為重要。安全負責人需要數據才能準確地顯示安全漏洞位置以及要在何處做更多的投資。

3、要采取基于風險的決策而不是基于合規性的決策

傳統模型在權衡網絡安全有效性時傾向于采用基于孤立的和基于合規性的做法，因此網絡安全措施是在不同的企業渠道中進行管理，而且重要的數據未被充分地利用。這也往往會導致“清單”心態，這可能會令公司容易受到威脅。所以要反其道而行之，網絡安全必須與組織的嚴峻風險和關鍵任務業務需求保持一致，要確保關鍵任務業務所用到的產品可以提供全面且可操作的洞察。

4、需確定哪些技術可以進行改進、哪些技術可以從堆棧中刪除

網絡安全人員需要管理許多產品。重要的一點是，需要驗證環境里哪些產品可以運作及哪些產品不能運作。適合一家公司的解決方案可能不適合另一家公司。要確定哪些技術產品可以提供更大的價值及哪些產品適合當前的架構，如此就不會購買多余的產品。以自動方式映射安全控件也可以更輕松地標出及列出可識別的威脅。

知己知彼之知己

用由外而內的方式處理安全問題時做的是試圖拒風險于外部。而由內而外的方法則是利用基于風險的策略先確定最重要的應用程序達到保護關鍵任務數據的目的，而基于風險的策略則是聚焦于最有價值和最脆弱的資產。采用由內而外的方法應對網絡安全不是件容易的事。不管是政府部門還是私營部門，歸根結底都是一個企業，由內而外的方法是最具商業意義的方法。