数据已经成为安全业界的困扰。专家们和厂商们告诉企业，它们需要威胁情报、日志及其可以收集的任何踪迹。事实上，处理所有的原数据已经成为一个重要的“大数据”问题。不幸的是，海量的数据记录往往使复杂的攻击变得难以捉摸，并且使我们对检测入侵的能力感到信心不足。

　　攻击者们还访问企业使用的所有相同的监视工具，并且可以针对这些监视工具测试它们自己的工具和技术，以确保其不被检测到。最老练的攻击者往往利用以前未曾看到过的工具和漏洞。在识别和确认这类攻击时，监视系统面临着很大的压力。从历史上看，攻击者们都能够在被发现(往往是由一个第三方发现的)之前在受害者的网络中呆停留长达几个月的时间。

　　部分问题在于，企业的计算环境非常复杂且繁忙，因而很多敌对活动可以隐藏在噪音中。聪明的攻击者可以通过同合法用户一样的方式来使用窃取的凭据连接数据库，并且使用的与合法用户相同的计算机。

　　我们不能简单地依赖监视来检测一般的开放性计算环境中的复杂攻击。由于这些攻击者可以长时间无法被检测到，所以他们能够在其危害被发现之前对系统造成巨大破坏。还有一个使问题更恶化的事实，就是Web浏览器等应用程序过于庞大和复杂，因而发现漏洞难度较大。由此带来的结果是，为了勉强对付黑客攻击，每年都要针对这些应用程序发布成千上万的重大安全补丁。

　　对付这种情况的一种办法是，创建一种使检测可以更好地运行的环境，而且如果不能检测到攻击也不会自动地引起大面积的危害。据统计，黑客们利用仅仅是有限的少量应用程序漏洞，但针对这些程序的攻击却占据了绝大多数。如果企业重视监视和防御有限的这些易被攻击的应用程序，攻击者的日子就要难过得多。

　　这些关键应用程序应当运行在内部经强化的和最小化的虚拟环境中。这会带来大量好处：

　　首先，简化的环境使得监视和对异常的检测更为简单。由于应用程序数量少并且交互也有限，所以背景噪音的水平也会极大降低。在个人计算机中，几乎任何活动都有发生的可能性，但是对于一个经强化的和最小化的虚拟机来说，只可能发生特定的问题。任何异常的发生都有可能标志着损害的产生。

　　其次，虚拟机可以从容地从主机环境中脱离。攻击者可能损害应用程序，但这并不能使其可以访问整个计算机、文件、网络等。对于能够击败甚至是最高级监视的攻击者来说，这种方法提供了关键防护。

　　第三，这有可能清除攻击者的恶意软件和立足点，甚至在攻击者能够逃避监视和检测时，也能够做到对其绞杀。整个虚拟机可以根据需要进行清除和重新生成，因为虚拟机并没有包含文档或其它需要保存的其它数据。通过将虚拟机重置到一个已知的良好状态，攻击者就会被赶出系统，即使防御者并不知道是否有攻击者的存在。

　　关注攻击面并设计系统可以极大地增加企业监视工作的有效性，从而更快速地检测并阻止入侵。而全面关注每个安全问题相当于没有关注任何问题。通过重新改变战场，使其符合企业利益，并且在部署和利用检测工具性时讲究策略，企业就可以在与攻击者的较量中占据优势。

(责任编辑：宋编辑)