适当的网络安全防御有很多层次。每一层都很重要，每当一层受损或缺失时，风险就会增加。此外，永远不可能有足够的层。虽然您可以通过添加层来降低风险，但您永远无法消除所有风险。两个最重要的防御层是文件完整性监控和更改检测。两者都由组织的变更管理计划控制和监控。

在计算机网络的早期，我记得在没有任何文档、批准、退出计划或监督的情况下，即时进行重大更改。提前几年，这将是发现自己失业和失业的快速简便的方法。

变更、变更检测和变更管理是一件大事，需要协调、规划、测试、记录、制定退出计划并获得组织关键方面的批准。通常，获得批准可能需要数周甚至数月的时间。如今，在许多组织中，变更审批是由委员会完成的，这些委员会非常密切地跟踪变更，以防止出现问题、中断或业务中断。

威胁行为者攻击

当威胁行为者攻击您的网络时，他们必须进行更改以实现其目标。他们的目标几乎总是经济利益。威胁行为者必须找到进入网络的方法，例如未修补的漏洞或网络钓鱼，并且通常会升级凭据以进一步实现其目标。很多时候，威胁行为者必须插入有效负载、可执行文件、创建帐户、编辑访问控制列表、使用未经批准的软件、禁用软件或代理以及更改日志和安全配置，然后才能造成任何真正的损害。所有这些操作都需要更改。

检测到更改时，威胁行为者尚未完成其目标。可以触发更改检测和文件完整性监控解决方案，在威胁行为者建立命令和控制、转向 Active Directory、泄露机密数据或启动加密流程之前向信息安全发出警报。这些下一代系统可以实时运行和警报。

最大的威胁

文件、软件、操作系统、数据库、应用程序或配置发生变化的原因只有几个：

在网络安全领域工作了 30 多年，我最担心的两项是最后一项： 恶意软件和威胁行为者 .

无论出于何种原因，所有这些更改在日志和遥测中看起来都差不多。这就是问题所在。当发生变化时，变更管理、信息技术和信息安全了解导致变更的原因至关重要。

为此，您必须具有强大的文件完整性监控和更改监控系统。当这些系统发现发生了更改时，需要有人或某个进程来协调该更改。是否有解释更改的更改记录？这是计划好的吗？如果答案是否定的，则应打开第二个票证，并立即通过打开事件票证来启动调查。如果日志的变化与皇冠上的明珠有关，则应将调查升级为紧急，并应通知网络安全事件响应团队。

可能没有变更单或明显的解释，但没有恶意软件或威胁行为者活动负责。必须尽快排除这种情况。如今，威胁行为者行动迅速。几年前的停留时间是几个月;今天，停留时间可能只有几个小时。

服务器、应用程序、数据库等越重要，文件完整性监控和更改检测系统就越重要。业务关键性应该是需要进行何种级别检查的决定性方面。事实上，如果业务关键性很小，则可能不需要文件完整性监控。也许变更检查的级别可能很低。

文件完整性监控 （FIM） 监视和分析端点、文件系统、数据库、文件共享、网络设备、各种操作系统和应用程序的完整性，以查找损坏或篡改的证据，这可能表明威胁行为者的活动。FIM 工具将当前基线与过去的基线进行比较，并在发现任何差异时发出警报。

如今，威胁行为者使用其技术来更改端点可能非常复杂。很多时候，文件系统、注册表、配置文件、系统文件、访问控制列表等会在攻击期间和/或威胁行为者在攻击期间横向移动时发生更改。威胁行为者可能会更改访问控制组、禁用日志记录的关键方面，或者在某些情况下禁用或卸载安全监控、代理或应用程序。这些类型的操作加快了对快速威胁检测和分析以及补救的需求。

当网络安全专业人员能够及早检测到威胁时，挫败威胁行为者的可能性就会增加，对数据和端点的损害就会降至最低。早期检测有很多层次。更改检测和文件完整性监控只是其中的两个层。添加这两层安全性可降低风险，并允许采取更好的审计和合规性措施。

结论

与往常一样，员工教育是任何计划不可或缺的一部分。员工和管理层必须全力支持并遵守这两层安全保障。一旦这些层就位，就可以实施具有明确安全控制的主动方法，以抵御恶意软件和威胁行为者。这将确保您的组织将面临威胁行为者和网络攻击的风险降至最低。