如果不知道正確的行為是什么？如何判斷軟件何時出現異常行為？

　　對于威脅行為者來說，這是一個重要的問題。畢竟，攻擊者經常為了不誠實的目的劫持誠實的軟件、網絡和系統。

　　要使用安全工具阻止他們，第一步必須是具備良好的網絡意識。

　　解決這個問題的最佳方法是行為透明度。

　　這是將軟件的透明度概念（例如應用程序跟蹤透明度、證書透明度和圍繞外部網絡操作的透明度）應用于內部網絡活動的廣義術語。

　　以最簡單的形式，任何軟件的預期行為的實用列表。可以幫助防御團隊區分正常的軟件操作與可能導致數據泄露的惡意操作之間的區別。

　　什么應該是透明的？

　　行為透明的好處在于，每當任何安全系統尋找奇怪的動作時，都有助于應對大量的噪音。畢竟，如果首先移除所有已知的成分，那么在大海撈針中找到針頭要容易得多。

　　兩個要素：技術透明度和非安全人員網絡意識中使用的透明度。

　　在技術方面，應該指定軟件應該使用的端口以及將使用這些端口的目的。還應包括預期的連接行為，例如與其他軟件組件和網絡區域的連接。

　　這不僅僅是在一個公司或機構內共享信息的問題。必須在全行業范圍內發生，并且有理由相信會發生。行為信息在發布時最有用，然后被安全產品和更改管理工具大規模使用。然后，工具可以使用數據執行漏洞評估任務，以更好地估計可能的惡意行為。還可以通過減少誤報來節省時間，提升效率。

　　許多軟件公司確實已經發布行為透明度數據，以實現大規模的網絡意識。關鍵是以標準的機器可讀格式而不是 PDF 格式發布這些行為。有些人提倡為此使用 GitHub 或其他一些流行的論壇。行業內實現這一目標的運動已經開始。

　　例如，SolarWinds 攻擊和其他大規模攻擊可能已被行為透明度數據阻止。事后看來，很明顯，SolarWinds 攻擊涉及（除其他外）與本應拉響警報的子域的連接。如果受害者部署的工具具有不包括該子域作為可接受或正常功能的行為透明度數據，他們就可以擁有。

　　軟件入門和網絡意識培訓的好處

　　了解軟件預期的正常行為對于軟件入門和網絡意識很有用。

　　有效的軟件入職流程應包括向員工明確說明新軟件的目的和功能。為了讓員工了解網絡意識方面，應該教他們什么是另一個方向的基本行為透明度。告訴他們軟件通常會做什么，不應該做什么。強調他們只能通過一個過程登錄，并且任何提供其他選項的內容都應被視為可疑。

　　另一個威脅是員工（大部分是遠程員工，但也包括內部員工）因正確的程序而感到受阻。如果程序不簡單，人們往往會發明自己的變通方法。通過解釋軟件的工作原理（以及變通辦法如何為攻擊者創造機會）以及與軟件相關的正確程序、政策和實踐，可以避免一些攻擊。

　　更大的商業軟件行業仍在努力應對圍繞行為透明度數據和系統的正式標準和實踐。但是，與此同時，可以部署軟件入職培訓和員工網絡意識培訓的概念，以提高當今的數字安全。