似乎每天你都会读到零日漏洞攻击的内容，死而复生或另一个新的的僵尸网络攻击，针对企业终端的更具创新性的攻击方式，有时甚至以上所有。这些攻击甚至使得最强悍的网络安全专家欲哭无泪。

但是将你的头埋在沙里不去面对是无法解决问题的，而且也不能帮助我们实现保护公司信息资产的目的。我最近就网络安全问题和很多人进行了讨论，最终意识到组织不再相信他们的终端。这要求我们从根本上以完全不同的方式来思考网络安全问题。

我知道，放弃保护终端这个观点摧毁了我们这些年所被教导的做事方法。那你们觉得深度防护安全模型怎么样呢？分层安全保障体系又如何呢？如果将一个关键层从混合层里面分离出来，又会怎样呢？好吧，让我从不同的角度来问这个问题吧。你现在的终端保护是怎样为你工作的呢？是的，我也是这样认为的。我了解到有些人没有办法放弃终端保护，因为审计师仍然要求你们做愚蠢的检查清单和确保AV box检查过了。所以总的来说是这样的：你可能依然不得不“保护”你的终端，但是你并没有期望那些控件能真正起作用，防止终端感染。

要明确的是，分层安全保障体系仍然是一个好主意。如果你的终端即将有一个缺口，至少让攻击者费一些力气才能攻破。关键是实现你保护的基础设施能在你的分层安全体系内，因为你越来越不能控制终端了—特别是在如今拥有自带设备的世界。或许是一个承包商为了解救一个混乱的开发项目而带来的个人笔记本电脑；或许是一个生意上的伙伴访问了你的系统；或许是你的董事会成员用他们的新ipads访问了公司邮件。不管怎样，你不能控制这些设备，而且不值得花费精力去部署设备然后实施恰当的安全控制。

很容易能预见终端会被攻击的，即使不是现在。那些烦人的用户一直点击广告，我们都知道那会造成怎样的后果。然后呢，我们要做什么？首先，让我们处理这些终端。我建议你认为它已经失败了，要重塑它。今天的恶意软件是不会真正的被清理干净的，甚至不要去尝试清理它们。安装一个全新的操作系统吧。如果有良好的备份过程，受感染的用户并不会丢失太多的数据。

因为我们假定终端是不可信的，所以我们需要在网络层保护数据，这就是网络分段。我们需要很多的网络分段。你想要使你真正敏感的信息都躲在一个高墙之下，每个想要通过高墙访问数据的人或设备都要求严格的身份验证，敏感网络的所有交易都得到监控和流量抓获。这些控件并不是万能药，但是你可以使别人很难访问你的重要数据更难，泄露它就更难了。

对于不太重要的数据，你可以实施不太严格的控制。可能只是确保连接到你的网络的设备不充满恶意软件。而且你可以看这些网络连接设备做了什么（通过看应用网络流量）来确保他们没有正在尝试做一些蠢事，如果它们在侦察，这可能暗示着是一个主动的攻击者在试图做坏事。

对于几年前铲除网络污垢的网络访问控制（NAC）公司来说，他们的技术非常适用于处理不可信终端。在连接时你要评估每个终端，基于设备类型，安全态势，认证方法和其它各种政策触发器来决定什么网络是他们可以连接的。

一个精明的攻击者可以击败网络分段和网络访问控制设备分配设备到特定网络分段的方法吗？当然可以，这就是为什么监控你的敏感网络很重要。是的，这需要使用一个安全信息和事件管理（SIEM），系统不只是监控和分析控制你重要数据的事件和设备配置，而且可能要对一些非常敏感的分段做完整的数据包捕获。为什么？因为你想要确保当发生意外时，你有足够的数据来进行法律调查。记住，你不可能完全消除安全破坏的风险。但是你可以给攻击者加大难度。