IT安全预算重心转移：转向攻击检测与响应

一个专注预防的安全策略不是十分安全的。CIO需要引导IT安全预算转向攻击检测和响应方面。

让我们把坏消息移开：你的企业有一个过时的IT安全预算方法，且几乎肯定浪费宝贵的美元。那些钱本可以在阻止被攻破时产生影响的。

如果还有少许安慰的话，那就是很多企业正犯着同样的过错：把太多预算放在阻止攻击，而不是投资在威胁检测和响应上。幸运的是，变化的强弱法并不难懂。虽然IT安全预算的必要改变起初可能会痛苦，但最终会获得更高的安全性。这就是我们本章将要讨论的。

检测和响应与预防同样重要

从获取对你的IT基础设施未授权访问，到找到敏感数据，每一个故意攻击都想预防，是不可能的。从早期的破坏，像Heartland Payment Systems(哈特兰支付系统)和Epsilon Data Management(艾普赛隆数据管理公司)，到最近发生事故的Target(泛欧实时全额自动清算系统)、Home Depot(家得宝)和Sony Pictures(索尼影业)，攻击者一再证明总有办法能通过几乎任何一家企业的预防安全控制——防火墙、入侵防护、基于签名的防病毒软件、单因子身份鉴别，甚至是那些在信息安全和承诺上投入重金的行业(比如金融和零售业)的公司。

浓缩一下就是，好人常犯错误——配置错误的防火墙、未打补丁的Windows电脑或者隐藏在网络钓鱼电邮里的零日攻击，坏人仅仅需要成功一次。防范技术帮助确保每个攻击者无法进入，但是正如那些引人注目的事故所展示的，经验老道的攻击者仍然可以进入。

取而代之，企业应该慎重对待缩减预防开销，转向攻击检测和响应软件产品。检测和响应技术——网络和终端威胁检测、恶意软件沙盒化、基于策略的白名单、能加速和减轻应急响应的产品。假设最坏情况，给企业提供新方法来鉴别、分类和区分异常现象的优先级，然后执行快速的隔离、补救和事后分析。