主要问题是这些工具会引发可疑行为（可疑网络活动、可疑文件、可疑进程行为等）。从网络监控的角度来看，如果攻击者的活动只是混入影响您的网络和系统的“正常”可疑行为的背景噪音，那么您将如何可靠地检测到真正的攻击者？

为正确的人提供正确的工具来完成他们的工作仍然是可能的，但这需要明确定义所涉及的工具、人员和工作，以便每个人都可以就正常和预期的行为是什么达成一致。

这称为政策。

因此，此类政策将涵盖以下领域：

• 工具：您真的需要让您的开发人员和架构师从 Internet 的任何地方下载任何东西吗？当然不是。您可以列出从受信任的来源下载的经批准的安全软件列表，其真实性已经过仔细验证，并在内部提供给真正需要它们的人。
• 人员：与其在公司代理中打开漏洞，不如从一个位置在内部共享一组特定的工具，可以更好地控制对这些工具的访问。该策略可以描述当某人想要访问这个存储库时应该遵循的过程：他应该联系谁，他应该提供什么信息，什么动机会被认为是合法的。
• 工作：您允许的开发人员和架构师真的需要随时随地扫描或破解任何东西的能力吗？又来了，当然不是。因此，您将能够决定攻击场景可能发生在哪些机器上，您甚至可以计划某种专用于此类用途的受限网络，以确保外部网络和系统不会受到影响。