现在企业不再只是由台式计算机和少量局域网服务器组成；还包括员工的笔记本电脑、智能手机、平板电脑和其他移动设备，以及文件、数据和邮件服务器、信息亭、监管控制和数据采集系统等。同时，很多网络已经扩展到云计算和虚拟环境，并与第三方系统及物联网交互。

在最近的数据泄露事故中我们了解到，企业IT专业人员无法保护所有这些端点的安全；但很多人依然认为他们可以信任内部网络和用户，并且，他们的防御重点还是在于阻止外部有针对性的网络攻击。目前防火墙电子邮件过滤、防病毒软件（AV）和VPN仍然是四种部署最广泛的安全技术，然而，黑客总是可以入侵端点—即使是受到最高级别保护的网络内的端点。另外，网络罪犯创建新恶意软件和攻击技术的速度超过端点安全解决方案更新的速度。

修复和更新不足以保护网络

当然，确保设备和端点得到修复以及运行最新的AV软件始终是抵御有针对性网络攻击的关键方法，但考虑到企业需要支持的设备、应用和用户的多样性，企业还需要部署更多安全措施。预防性技术不仅无法检测很多有针对性攻击，而去还无法识别和修复正在进行的漏洞利用攻击。安全团队需要的战略是在即使外围防御已经被破坏且网络也受到感染的情况下，仍可保护关节资源和数据。

网络分段可限制有针对性网络攻击的范围，从而极大地提高对数据的保护，即使这些数据存放在更开放的网络内。通过内部网络分段，企业可确保关键信息仅限于具有有效和可信访问请求的个人或应用可访问。这也意味着，额外的安全控制只需要部署在需要的网络分段，可帮助减少不必要的成本，同时确保敏感区域受到保护。

而且，网络分段可限制攻击者在网络中移动的能力，但如果没有发现有针对性网络攻击的能力，很多企业只会在重要数据被盗后才可获知成功渗透的事实。毕竟在攻击者突破网络防御措施后，他们非常善于减少其活动的足迹以逃避检测。

持续的网络监控也是至关重要

为了检测复杂而有针对性的网络攻击，企业需要持续监控网络活动，并积极寻找异常行为。当攻击者在提取数据时，在某些时候，他们不得不采取与真实可信的用户不同的行为，这个时候，监测用户、设备和服务行为模式的监控系统就可发现异常行为并阻止潜在的攻击。例如，Anthem数据泄露事故本可以早早被发现，因为攻击者远程提交数据库查询来获取PII记录—这当然属于异常行为。

不过，想要让持续网络监控工具识别恶意活动，则需要让其了解什么是正常行为。IBM的InfoSphere Guardium、Splunk Cloud或者Solutionary的基于云的ActiveGuard Security和Compliance平台等都可创建基准并提供对内部活动和云计算活动统一视图，还可在活动超出预期带宽时生成警报。

自动化是未来安全的重要部分

现代企业的攻击面太大，以至于基于预防的技术无法实现100%的有效性。但很多企业相信这些技术的有效性，并将大部分支出用在这些技术。尽管预防性技术非常重要，但企业迫切需要部署可自动检测和应对有针对性网络攻击的工具。这种主动性方法可缩短最初攻击与发现及修复之间的时间，从而减少攻击损害的程度。