如果不知道正确的行为是什么？如何判断软件何时出现异常行为？

　　对于威胁行为者来说，这是一个重要的问题。毕竟，攻击者经常为了不诚实的目的劫持诚实的软件、网络和系统。

　　要使用安全工具阻止他们，第一步必须是具备良好的网络意识。

　　解决这个问题的最佳方法是行为透明度。

　　这是将软件的透明度概念（例如应用程序跟踪透明度、证书透明度和围绕外部网络操作的透明度）应用于内部网络活动的广义术语。

　　以最简单的形式，任何软件的预期行为的实用列表。可以帮助防御团队区分正常的软件操作与可能导致数据泄露的恶意操作之间的区别。

　　什么应该是透明的？

　　行为透明的好处在于，每当任何安全系统寻找奇怪的动作时，都有助于应对大量的噪音。毕竟，如果首先移除所有已知的成分，那么在大海捞针中找到针头要容易得多。

　　两个要素：技术透明度和非安全人员网络意识中使用的透明度。

　　在技术方面，应该指定软件应该使用的端口以及将使用这些端口的目的。还应包括预期的连接行为，例如与其他软件组件和网络区域的连接。

　　这不仅仅是在一个公司或机构内共享信息的问题。必须在全行业范围内发生，并且有理由相信会发生。行为信息在发布时最有用，然后被安全产品和更改管理工具大规模使用。然后，工具可以使用数据执行漏洞评估任务，以更好地估计可能的恶意行为。还可以通过减少误报来节省时间，提升效率。

　　许多软件公司确实已经发布行为透明度数据，以实现大规模的网络意识。关键是以标准的机器可读格式而不是 PDF 格式发布这些行为。有些人提倡为此使用 GitHub 或其他一些流行的论坛。行业内实现这一目标的运动已经开始。

　　例如，SolarWinds 攻击和其他大规模攻击可能已被行为透明度数据阻止。事后看来，很明显，SolarWinds 攻击涉及（除其他外）与本应拉响警报的子域的连接。如果受害者部署的工具具有不包括该子域作为可接受或正常功能的行为透明度数据，他们就可以拥有。

　　软件入门和网络意识培训的好处

　　了解软件预期的正常行为对于软件入门和网络意识很有用。

　　有效的软件入职流程应包括向员工明确说明新软件的目的和功能。为了让员工了解网络意识方面，应该教他们什么是另一个方向的基本行为透明度。告诉他们软件通常会做什么，不应该做什么。强调他们只能通过一个过程登录，并且任何提供其他选项的内容都应被视为可疑。

　　另一个威胁是员工（大部分是远程员工，但也包括内部员工）因正确的程序而感到受阻。如果程序不简单，人们往往会发明自己的变通方法。通过解释软件的工作原理（以及变通办法如何为攻击者创造机会）以及与软件相关的正确程序、政策和实践，可以避免一些攻击。

　　更大的商业软件行业仍在努力应对围绕行为透明度数据和系统的正式标准和实践。但是，与此同时，可以部署软件入职培训和员工网络意识培训的概念，以提高当今的数字安全。