数据点1：重点关注终端和云计算工作负载以及它们面临的风险

远程工作的迅速兴起已使很多组织的重点放在生产终端上，尤其是MacBook和Windows笔记本电脑。组织还将采用生产终端，例如虚拟机(VM)、云计算服务提供商的容器和资源。保护这些远程资源应该是组织安全计划的关键部分。

数据点2：员工不能再依赖组织的网络防御

随着员工在家中工作，组织业务的攻击面已经显著增加。由于员工不能采用组织网络上的工具和监控措施进行防范，组织的安全团队需要考虑如何加强员工家庭网络的安全性。这些网络位于组织防火墙之外，安全团队无法为这些网络部署监视措施以检测威胁。他们的安全计划需要考虑更多潜在的攻击媒介，并且其检测能力必须足够灵活，以适应不断变化的威胁环境。

数据点3：缺乏网络安全会破坏防御

由于员工的笔记本电脑位于组织的防火墙之外，因此，通过保持良好的网络安全状况来做好应对事件的准备变得更加重要。组织的安全团队应该能够快速识别易受攻击的软件版本和不安全的配置。互联网安全中心(CIS)基准和控制等标准为安全设置的外观提供了既定的定义。当员工试图在远程工作世界中加强防御时，可以求助于这些社区开发的框架。

数据点4：远程员工可以带来风险或有权进行防御

组织必须依靠员工在远程工作环境中做出安全决策。好消息是，大多数员工都希望遵循良好的安全规范，因为没有人希望被黑客攻击。而采用用户驱动的安全方法，可以使员工能够通过定期的安全检查和通过Slack等聊天平台实现的自动化，自行修复不安全的配置。

数据点5：计算的快速发展可能会使安全问题退居次要地位

随着冠状病毒疫情持续蔓延，组织迅速将资产和环境转移到云平台中，从而可以为远程工作的员工队伍提供帮助。但是，这些关键的云计算组件仍然需要管理，而且为组织环境构建的传统工具在云计算环境中无法满足这一需求。这就是组织应该采用能够跨生产终端和云计算工作负载提供可见性工具的原因。还需要确保通过虚拟机和容器查看由内而外的可见性，以及从云计算提供商和容器编排器查看由外而内的可见性。

数据点6：扩大的威胁面可以增强警报疲劳

安全工具发出的大量警报会让组织的团队措手不及，迫使他们陷入事件分析和反应的循环中。在远程工作环境中，由于网络攻击面加大，在远程终端可能安装了其他软件(如视频会议工具)，远程系统可用于工作和非工作目的，因此围绕反应性的问题(如员工不堪重负和注意力不集中)会扩大。所有这些都会导致更多的警报和误报。

减少警报疲劳的有效方法不是过度依赖于被动检测，而是采用持续审核和定期安全培训的措施。将这些活动与基于可信框架(如MITRE ATT&CK)的高保真检测相结合，员工将会对安全流程和状态充满信心。