技术革新在改变着现代生活的方方面面，网络安全威胁也在亦步亦趋并且常常超出IT部门对关键数据保护的安全能力。那些使用恶意软件的人，在开源代码中寻找漏洞、传播病毒、入侵网络、盗取数据，无所不用其极。网络攻击来自于四面八方，IT部门在制定新的安全战略时面临艰难。

       攻击者通常会部署一系列的攻击步骤，每一步对于熟悉内幕的安全人员来说都会留下清晰的痕迹。当安全事件发生时，掌握准确威胁信息的安全团队能够发现和阻挡攻击。这些威胁信息的来源包括商业信息、用户行为习惯分析和企业内部环境信息，基于这些信息安全团队能够洞察入侵者的操作并迅速地将其拒之门外。

       安全牛本期安全讲堂为大家带来“如何使用网络信息来击败入侵者”。要想迅速的制止攻击并保护重要数据，必须实施高人(攻击者)一筹的安全战略，并将其覆盖到扩展网络。对付一次完整的攻击过程（攻击前、攻击中和攻击后）对于安全人员来说是一项逻辑性和周期性的工作，因此仔细的检查每一个阶段非常有助于安全工作。

攻击前

      安全人员要对任何可能出现的漏洞予以警醒。以前普遍认为，安全就是防守，但现在的安全人员正在建立更加智能的手段阻止入侵者，这种智能的手段需要依靠各种企业环境的信息，包括但不限于物理及虚拟主机、操作系统、应用程序、系统服务、通信协议、用户、内容和网络行为。基于对这些信息的了解，安全人员甚至能在攻击开始之前采取措施。

攻击中

     时间是关键因素。安全人员必需能够识别和理解威胁并知道如何快速制止这些威胁，从而最小化信息暴露的程度。使用的相关方法包括内容检测、行为异常检测、用户环境、设备情况、位置信息，并了解攻击发生时的关键应用程序。

攻击后

      安全人员必需理解发生了什么，如何降低可能的损失。高级取证及评估工具有助于安全人员了解这些事情：攻击者在哪里发现的漏洞？有没有可能预防这次入侵？更为重要的是，事后的安全追溯可以通过持续的收集和分析数据以建立安全消息库，从而识别、评估、控制和补救那些数星期乃至数月都没有检测出来的入侵。

      信息和理解是任何防护战略的两大关键要素。网络安全人员一直都在更多的了解攻击者，他们为什么和如何发起攻击的。提交无法从计算环境获得的深度信息，此为扩展网络的价值所在。与反恐类似，信息或说情报是制止攻击再次发生的关键。

      与真实的战场一样，网络空间的战争也无法仅依靠敌我双方的资源数量来决定胜败。量级相对较低手段较少的对手，能够令量级比自己大的对手遭受更大的破坏。在这种不对称的环境中，信息是应对威胁最重要的资源。但是如果不去优化信息的结构性和可操性，信息本身是带不来什么益处的。

       举一个信息优化的例子：我们知道网络分析可以收集到用户登录和登出系统时的IP流量信息，安全人员可以据此进行用户身份和使用的网络环境进行判断。从而帮助安全人员从多种信息来源获取信息，这些来源包括网站、网络，以及公共和个人之间的信息交换。

      最佳的安全实践包括对整个攻击过程(攻击前、中、后)的综合性威胁控制战略，以及发现威胁和防护、补救。最后，从结构性和可操性的层面上利用各种威胁相关信息，将建立一个更加综合的安全防护环境。

    关于作者：GregAkers，思科安全可信部门高级副总裁，二十年以上高管经验。