适当的网络安全防御有很多层次。每一层都很重要，每当一层受损或缺失时，风险就会增加。此外，永远不可能有足够的层。虽然您可以通过添加层来降低风险，但您永远无法消除所有风险。两个最重要的防御层是文件完整性监控和更改检测。两者都由组织的变更管理计划控制和监控。

在计算机网络的早期，我记得在没有任何文档、批准、退出计划或监督的情况下，即时进行重大更改。提前几年，这将是发现自己失业和失业的快速简便的方法。

变更、变更检测和变更管理是一件大事，需要协调、规划、测试、记录、制定退出计划并获得组织关键方面的批准。通常，获得批准可能需要数周甚至数月的时间。如今，在许多组织中，变更审批是由委员会完成的，这些委员会非常密切地跟踪变更，以防止出现问题、中断或业务中断。

威胁行为者攻击

当威胁行为者攻击您的网络时，他们必须进行更改以实现其目标。他们的目标几乎总是经济利益。威胁行为者必须找到进入网络的方法，例如未修补的漏洞或网络钓鱼，并且通常会升级凭据以进一步实现其目标。很多时候，威胁行为者必须插入有效负载、可执行文件、创建帐户、编辑访问控制列表、使用未经批准的软件、禁用软件或代理以及更改日志和安全配置，然后才能造成任何真正的损害。所有这些操作都需要更改。

检测到更改时，威胁行为者尚未完成其目标。可以触发更改检测和文件完整性监控解决方案，在威胁行为者建立命令和控制、转向 Active Directory、泄露机密数据或启动加密流程之前向信息安全发出警报。这些下一代系统可以实时运行和警报。

最大的威胁

文件、软件、操作系统、数据库、应用程序或配置发生变化的原因只有几个：

更新或补丁

文章原文链接:https://www.anquanke.com/post/id/299511