网络越透明，越有利于早期检测。

无论是否已被黑，安然无恙地享受联网生活的几率，就跟河北想要看到纯净的蓝天一样渺茫。各种角度看来，当前的网络安全状况都十分令人担忧。

试想一下。CIA够安全了吧？入职之前要经过严密的背景调查，拿个安全许可和确定个密级还要经过测谎。中国式丈母娘审查在CIA面前根本不够看。

然而，恶意内部人依然可以带着大批CIA黑客工具扬长而去。

 

　　内鬼的可怕

情报机构无法保护自身免受内部人和丑闻困扰是挺令人忧伤的。路透社曾报道，政府机构估测，每6千到8千名雇员中间，就会出一个内部人威胁。百分比看起来蛮低的，但如果考虑到全国、全省、全州、全市和社区街道办的政府雇员人数呢？出了一例数据泄露，余波震荡都有可能深远到难以想象，比如大部分中国人都离不开的12306用户数据泄露事件(似乎21号又泄了……)。

而且，人类总是很奇怪的。某种程度上而言，只要是人，都有可能被收买。本就不怎么坚定的人，自然会为了名利就出卖国家；即便单纯爱国爱家，在误导性理念或信仰影响下，做出同样的卖国行为也不是不可能。于是，无论动机为何，牵涉到网络安全的时候，任何组织的最终目标都是：拦住那帮该死的坏人。

如果全都拦下不是可选项，那我们可以选择什么？或许，是时候转变焦点，成为威胁检测、预测和响应的专家了。这三者合一，便可铸造现代安全架构的基石，通往全面且持续的监测和高级行为分析，发现任何偷溜进来的坏蛋，甚或由好变坏的腐坏分子。

　　网络可见性是王道

正如CIA黑客工具泄露事件所揭示的，无论准备有多充分，不管应用了多少策略和规程，不论多么想保持健康，坏事总会发生。

网络流量可见性解决方案有些像是X光透视，都是用来辅助检测异常(潜在的内部小恶魔)以供进一步分析的。

即便X光检查不能治愈癌症，流量可见性也挡不住数据泄露，但它们可以提供更好的态势感知。感知可是发现潜在问题，打造其他定制安全和分析工具的第一步，可以供分析师像病理学家做活检确定肿瘤良性还是恶性一样，确定流量异常的危害性。有了诊断结果，公司企业就可利用该情报制定接下来的行动步骤了。

工具需要上下文才能区别好坏。换句话说，要具备对网络流量100%的可见性。没有完全可见性，恶意软件防护工具就无法确定可执行文件到底是好是坏；数据泄露防护工具就无法决策文档应不应该被允许发送出网络。讲真，如果不能提供工具起效所需的流量可见性，你弄个工具是为了摆那儿好看吗？

越好越全面的网络透明度，可以带来更好的早期检测机会。能在坏人有机会篡改或渗漏数据(阶段0)之前就逮到他，总比他已经侵入全部系统，卷走所有重要资产逃之夭夭(阶段4)的情况要好很多。

人们总觉自己不会那么倒霉被黑客攻击，总感觉被黑的都是其他公司，其他人。然而，或迟或早，总会轮到自己的。于是，我们首先要问问自己：能不能在黑客事件发生时识别出来？或者，更重要的，有没有能力做出恰当的反应？

(责任编辑：安博涛)