数年前，网络安全行业有种新思维：

• 　　网络安全控制不是特别有效；
• 　　因此，高级网络对手可以轻易绕过它们，入侵网络，执行数据窃取；
• 　　而且，试图预防攻击基本上是徒劳无功的，所以公司企业应将注意力集中在事件检测和响应上。

这条思路受到业界野火般蔓延的一句超简单格言支持：

　　公司分两类：已经被入侵的，以及被入侵了还毫无所觉的。

这种论断存有几分真实性。过去的很多安全技术都漏成筛子了，因为它们就是设计来解决已知威胁而非零日威胁的。而且，相对而言，网络对攻击非常开放。

面对这些弱点，很多公司都转向了为威胁检测而设计的新技术——恶意软件沙箱、用户实体行为分析(UEBA)、终端检测响应(EDR)、网络安全分析等等。于是，发生了什么呢？公司很快便被各自为战的各种技术、汪洋大海般的新安全数据，以及刺耳的安全警报声给淹没。然后，很多公司意识到，他们既没有足够的员工，也没有相应的技术来充分利用起该威胁检测技术。而且，大面积网络安全人才短缺的事实，也意味着这一情况不会很快得到解决。

　　这里就有2个问题：

• 　　1) 安全控制无甚效果，于是大量坏员工纷纷接入网络；
• 　　2) 威胁检测噪音太多且复杂难用。

　　新型高级威胁预防技术

幸运的是，变化即将到来。网络安全技术供应商正在引入一波可被称之为高级威胁预防的技术。这些工具在封堵漏洞利用、攻击方法和恶意软件上出色得多，且还能大幅减小攻击界面。这就衍生出降低威胁检测噪音和复杂性的效果了。

随着这些技术的到来和成熟，领先企业将会藉由对以下技术的开发，让2018年成为高级威胁预防年：

　　1. 下一代终端安全软件

此处的重大技术进展，是恶意软件检测/封锁实时分析及机器学习算法的引入。这些创新，令对所有威胁类型的检测/封锁效率得到了大幅提升。Cylance在几年前就携机器学习横空出世，搅乱了终端安全市场的一池春水。自此，其他厂商，比如CrowdStrike、迈克菲、Sophos(Invincea)、赛门铁克和趋势科技，也加入了类似功能。明年，CISO们也将迅速跟进此方向。

　　2. 威胁情报网关

过去几年，操作化威胁情报的努力一直没断，但此项工作很难开展。威胁情报网关，例如：Centripetal Networks、Ixia、LookingGlass Networks等，则可以通过威胁评分和网络边界级拦阻，转变这项劳动密集型工作。为什么不用久经验证的防火墙来干这事儿呢？因为在追踪/封堵大量威胁上，防火墙做不到专门打造的威胁情报网关那么好。

　　3. 安全DNS

与威胁网关关系紧密，安全DNS服务也用于自动追踪并封堵恶意域名、区域和相关IP地址。思科OpenDNS就是其中佼佼者。但其他厂商，包括Comodo、Infoblox和Neustar，也提供类似服务。值得指出的是，还有很多免费的安全DNS服务，如IBM最近发布的Quad9。

　　4. 微隔离

思科ACI和VMware NSX之类的技术，将防火墙、访问控制列表(ACL)和网络分隔的概念，与基于软件的策略管理及实现结合了起来。其他厂商(Illumio、vArmour、ShieldX等)也提供相似的多平台功能。2018年，CISO会更普遍地使用这些技术，不仅仅局限在数据中心，目的就是要大幅减小整体攻击界面。

　　5. 智能应用控制

有没有什么工具可以做到：分析应用，确定正常行为基线，然后在出现混乱的时候发出警报，或者锁定表征异常/可疑行为的活动？嗯，Edgewise、VMware AppDefense和ThreatStack或许可以。

虽然真的没有什么安全技术是设置好就可以再也不管的，这些工具确实用不着像遗留安全控制/监视/分析系统那么频繁的关注和馈送。这意味着，CISO不需要庞大的团队，不需要长达数月的部署/定制，不需要数周的员工培训，就可以享受到这些安全投资带来的好处。

有个老梗：两个人被熊追，第一个人说“没用的，熊比我们跑得快多了”，第二个人说，“我不需要跑得比熊快，我跑赢你就够了”。在网络安全领域，网络罪犯、黑客主义者和国家支持的网络对手，就是熊。高级威胁预防不是万灵药，但聪明的CISO，会利用这些工具，跑在依靠初级安全控制而门户大开的其他公司前面。

(责任编辑：安博涛)