安全管理人員面臨著很多困難，尤其是在面對看似無休止的網(wǎng)絡攻擊時，總是感到在疲于應付和阻止威脅，并且迫切需要借助任何可用的手段來應對威脅。為了深度防御，太多的企業(yè)采用的方法就是“買進來”，希望通過給網(wǎng)絡增加越來越多的安全層，企業(yè)能夠跟上試圖破壞網(wǎng)絡和信息安全的各種惡意威脅。

由此就產(chǎn)生了一種不可管理的卻宣稱能夠使企業(yè)更安全的產(chǎn)品系統(tǒng)，實際上，這些產(chǎn)品采用了一種破壞生產(chǎn)力的“過度防御”的模式。企業(yè)將太多的時間和金錢用于保證網(wǎng)絡安全的更新上，卻沒有將足夠的時間用于構建真正安全的網(wǎng)絡。如此做法非但沒有創(chuàng)建有更強確定性的網(wǎng)絡，反而創(chuàng)造了一種過度復雜的網(wǎng)絡。

例如，大量的所謂新設備宣稱能夠保護企業(yè)網(wǎng)絡免受任何特定的威脅。但是，如果出現(xiàn)了一種新威脅，企業(yè)網(wǎng)絡就增加一個新安全層，網(wǎng)絡卻不會因此而更安全。

事實是，企業(yè)需要從根本上改變看待安全的思想，需要重置其思考方式，并將關注的重點不再放在改善網(wǎng)絡安全上，而應放在構建安全的網(wǎng)絡上。雖然部署多層防御很重要，但是企業(yè)應將更多的重點放在如何集成、升級、管理公司的安全性上。

就其本質(zhì)而言，安全網(wǎng)絡應關注自動化和管理。其中包括除防火墻之外的進一步強化，進而決定網(wǎng)絡中的哪些點有助于阻止威脅。安全網(wǎng)絡應著重于如何更有效地從多個源頭來集成威脅情報，然后自動分析這些信息。最后，安全網(wǎng)絡需要找到更為集中的管理方法，并且要盡可能廣泛地在公司基礎架構中改變策略和規(guī)則。

我們需要改變思考策略、檢測及強化的方式。任何公司都可以關注如下三個方面來構建安全網(wǎng)絡，而不僅僅是改善網(wǎng)絡安全。

1.開放性的標準和基于意圖的策略引擎。多年以來，業(yè)界一直在談論統(tǒng)一策略和統(tǒng)一策略引擎。在不同的策略引擎之間轉換策略變得極其困難。安全管理專家至少正在繼承和管理三代設備，在網(wǎng)絡的安全覆蓋范圍方面卻幾乎沒有什么明確證據(jù)。我們需要使策略引擎構成聯(lián)盟并實現(xiàn)自動化，策略引擎要支持通過開放的標準來交換策略。社區(qū)和業(yè)界應大力支持在網(wǎng)絡安全信息的共享規(guī)范上做出一些開源努力，如TAXII、 STIX、 CybOX等。其中，STIX尤其重視網(wǎng)絡威脅信息的交換。這可以使我們改變關于網(wǎng)絡威脅和惡意行為的一些思想。

2.在任何地方進行檢測的能力。企業(yè)應利用最新技術來更快地確認惡意企圖。首先，對于前面提到的STIX，我們希望能夠利用所有的好情報，在確認威脅和惡意企圖方面掌握實時的信息功能。任何企業(yè)只要擁有基于開放標準的威脅情報交換能力，即掌握了阻止已知威脅的信息。即使擁有一些最好的防火墻和已明確定義的外圍安全策略，也能在局域網(wǎng)內(nèi)部檢測到威脅和惡意企圖。

不幸的是，這些威脅和惡意企圖往往是在安全事件響應團隊以某種形式通知公眾后由人工方式發(fā)現(xiàn)的。企業(yè)不應當調(diào)查網(wǎng)絡，而應當利用網(wǎng)絡自身來檢測網(wǎng)絡威脅和惡意企圖，并立即隔離或阻止惡意企圖在網(wǎng)絡中的擴散。

3.在任何地方執(zhí)行。如果你能夠在企業(yè)網(wǎng)絡中的任何地方檢測到威脅，為什么不能夠在那個地方阻止威脅?業(yè)界實現(xiàn)安全的方法是什么?答案是：一直在網(wǎng)絡的邊緣強化安全。對于移動計算、BYOD、物聯(lián)網(wǎng)，從另一個方面來看，外圍就是任何地方。在網(wǎng)絡的每一個點上去部署另一層安全不但在經(jīng)濟上不可行，而且也不利于運維和管理。為什么不利用網(wǎng)絡自身?利用網(wǎng)絡是實施檢測和強化安全的最具有成本效益的高效方法。安全形勢在不斷變化。我們必須摒棄原來考慮網(wǎng)絡安全的傳統(tǒng)方法。

安全業(yè)界需要在思想上進行根本的變化，充分利用網(wǎng)絡的每一個方面，以此作為安全檢測和強化的一個關鍵點。只有通過這種方法，我們才能獲得真正安全的網(wǎng)絡。