如果不知道正確的行為是什么？如何判斷軟件何時(shí)出現(xiàn)異常行為？

　　對于威脅行為者來說，這是一個(gè)重要的問題。畢竟，攻擊者經(jīng)常為了不誠實(shí)的目的劫持誠實(shí)的軟件、網(wǎng)絡(luò)和系統(tǒng)。

　　要使用安全工具阻止他們，第一步必須是具備良好的網(wǎng)絡(luò)意識。

　　解決這個(gè)問題的最佳方法是行為透明度。

　　這是將軟件的透明度概念（例如應(yīng)用程序跟蹤透明度、證書透明度和圍繞外部網(wǎng)絡(luò)操作的透明度）應(yīng)用于內(nèi)部網(wǎng)絡(luò)活動的廣義術(shù)語。

　　以最簡單的形式，任何軟件的預(yù)期行為的實(shí)用列表?？梢詭椭烙鶊F(tuán)隊(duì)區(qū)分正常的軟件操作與可能導(dǎo)致數(shù)據(jù)泄露的惡意操作之間的區(qū)別。

　　什么應(yīng)該是透明的？

　　行為透明的好處在于，每當(dāng)任何安全系統(tǒng)尋找奇怪的動作時(shí)，都有助于應(yīng)對大量的噪音。畢竟，如果首先移除所有已知的成分，那么在大海撈針中找到針頭要容易得多。

　　兩個(gè)要素：技術(shù)透明度和非安全人員網(wǎng)絡(luò)意識中使用的透明度。

　　在技術(shù)方面，應(yīng)該指定軟件應(yīng)該使用的端口以及將使用這些端口的目的。還應(yīng)包括預(yù)期的連接行為，例如與其他軟件組件和網(wǎng)絡(luò)區(qū)域的連接。

　　這不僅僅是在一個(gè)公司或機(jī)構(gòu)內(nèi)共享信息的問題。必須在全行業(yè)范圍內(nèi)發(fā)生，并且有理由相信會發(fā)生。行為信息在發(fā)布時(shí)最有用，然后被安全產(chǎn)品和更改管理工具大規(guī)模使用。然后，工具可以使用數(shù)據(jù)執(zhí)行漏洞評估任務(wù)，以更好地估計(jì)可能的惡意行為。還可以通過減少誤報(bào)來節(jié)省時(shí)間，提升效率。

　　許多軟件公司確實(shí)已經(jīng)發(fā)布行為透明度數(shù)據(jù)，以實(shí)現(xiàn)大規(guī)模的網(wǎng)絡(luò)意識。關(guān)鍵是以標(biāo)準(zhǔn)的機(jī)器可讀格式而不是 PDF 格式發(fā)布這些行為。有些人提倡為此使用 GitHub 或其他一些流行的論壇。行業(yè)內(nèi)實(shí)現(xiàn)這一目標(biāo)的運(yùn)動已經(jīng)開始。

　　例如，SolarWinds 攻擊和其他大規(guī)模攻擊可能已被行為透明度數(shù)據(jù)阻止。事后看來，很明顯，SolarWinds 攻擊涉及（除其他外）與本應(yīng)拉響警報(bào)的子域的連接。如果受害者部署的工具具有不包括該子域作為可接受或正常功能的行為透明度數(shù)據(jù)，他們就可以擁有。

　　軟件入門和網(wǎng)絡(luò)意識培訓(xùn)的好處

　　了解軟件預(yù)期的正常行為對于軟件入門和網(wǎng)絡(luò)意識很有用。

　　有效的軟件入職流程應(yīng)包括向員工明確說明新軟件的目的和功能。為了讓員工了解網(wǎng)絡(luò)意識方面，應(yīng)該教他們什么是另一個(gè)方向的基本行為透明度。告訴他們軟件通常會做什么，不應(yīng)該做什么。強(qiáng)調(diào)他們只能通過一個(gè)過程登錄，并且任何提供其他選項(xiàng)的內(nèi)容都應(yīng)被視為可疑。

　　另一個(gè)威脅是員工（大部分是遠(yuǎn)程員工，但也包括內(nèi)部員工）因正確的程序而感到受阻。如果程序不簡單，人們往往會發(fā)明自己的變通方法。通過解釋軟件的工作原理（以及變通辦法如何為攻擊者創(chuàng)造機(jī)會）以及與軟件相關(guān)的正確程序、政策和實(shí)踐，可以避免一些攻擊。

　　更大的商業(yè)軟件行業(yè)仍在努力應(yīng)對圍繞行為透明度數(shù)據(jù)和系統(tǒng)的正式標(biāo)準(zhǔn)和實(shí)踐。但是，與此同時(shí)，可以部署軟件入職培訓(xùn)和員工網(wǎng)絡(luò)意識培訓(xùn)的概念，以提高當(dāng)今的數(shù)字安全。