虽然公司企业总是希望尽可能快地找出威胁，但理想也总是那么遥不可及。平均来看，驻留时间会持续数月，网络罪犯有充足的时间逡巡网络，抽取有价值信息，影响公司、客户以及雇员。

　　如果公司没有实时检测能力，没有为这些事件做好准备，那他们就总会处于特别脆弱的状态。对工具和策略进行重新评估是个不错的主意。以下是一些最常见的风险事件和能够帮助你成功应对的建议：

　　1. 物联网接入

　　任何联网设备都可成为黑客的切入点，随着越来越多的公司开始使用物联网设备(IoT)，他们需要准备好识别新设备上的潜在攻击。

　　正在实现IoT的公司应考虑一下网络重设计，用强访问控制将IoT设备与其他内部网络进行隔离。可以部署异常检测技术，来给IoT网段和内部及外部网络的正常行为定个基线。该持续的监视将有助于发现不正常网络行为。

　　2. 合作伙伴

　　塔吉特百货的大规模数据泄露，就是黑客通过空调公司进入网络的结果。每当公司向新厂商或合作伙伴授予网络访问权的时候，他们都应当密切注意不正常活动。有那么几个步骤可以有效做到这一点。

　　首先，优先处理厂商/合作伙伴访问公司资源的管理和安全，勤于在合同终止时清除访问授权。另外，将厂商VPN访问限制在某已知IP段内，并在内部公布该IP列表。最后，部署分析工具以近实时地检测来自这些IP地址的异常行为。此外，利用第三方安全风险评级服务(SRS)(《安全领域新概念：安全评级服务的兴起》)不失为一个方便快捷的手段。

　　3. 合并与收购

　　将两个之前各自独立的公司网络合并起来是个危险的活计。黑客畅游网络的驻留时间可长达数月。如果有黑客已经侵占了公司A的网络，通过融合，你也就给了他公司B(及并购后的公司)的钥匙。

　　事前准备是规避此类场景的关键。在连接基础设施之前，对每家公司的基础设施都做个网络和安全评估。然后，部署分析工具来对网络行为定个基准，尽快对合并的网络进行数据记录以便能监视异常行为。

　　4. 新增物理位置

　　无论是新的公司大楼，还是零售门店，或者快餐连锁，跟着这些新位置而来的基础设施，都有可能引入新的漏洞。除了添加标准控制，公司面对这种状况还应该考虑部署分析工具，执行“种群分析”，以确定新位置在其网络和应用日志数据中展现的行为，是否异于其他地点的行为。

　　5. 修复或更新软件

　　复杂环境中，一个地方的改变，可能会无意地影响到其他某个地方。很多案例都显示，这可能产生新的漏洞，为黑客开启方便之门。

　　成功修复或更新，归根结底是使用良好的IT规程。比如说，确保跟IT安全团队沟通计划好的升级。然后，定义升级后勤勉期，在此期间对安全日志进行额外的详细审查。

　　6. 引入新硬件

　　这可能包含任何硬件，从服务器到新的移动设备。每当向网络中引入新硬件时，你都会遇到很多之前不知道的东西。而未知之物，就有可能伤害到你。

　　确保新服务器上运行的所有软件都打了补丁，是个不错的实践。检查与该硬件或软件相关的每个已知漏洞。与软件升级最佳实践类似，要跟IT安全团队沟通计划硬件升级事宜。然后，创建升级后勤勉期，对安全日志进行额外的详细审查——推荐使用自动化分析工具。

　　7. 员工入职

　　很多公司都会在同一时段迎入新人，比如说，在他们招聘并培训了新的大学毕业生的时候。这种情况下，他们就是在往公司网络中引入带有独特新行为的大量新用户，可能还有新设备。这些新用户增加了被黑或数据被泄的机会(无论有意还是无意地)。

　　面对该成长期的第一步，是强调公司策略和良好IT安全实践。确保定期强化这些策略和实践。然后，考虑部署用户行为分析(UBA)来为新用户建模，将他们的风险与公司其他员工组做对比。

　　8. 员工离职

　　裁员、倒闭或辞职之类的事件——尤其是在非自愿的时候，可能会引发乱流，增加出自熟知公司数据、网络和应用的员工之手的恶意行为发生机会。

　　这些敏感时段中，企业应强调身份及访问管理(IAM)。应勤于清除对所有资源的访问权，无论是公司内的，还是云端的。最后，定义更新后的勤勉期，使用自动化异常检测来执行对安全日志的额外审查。·

　　责任编辑：DJ编辑