很多企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略已經(jīng)落后，這并不是什么秘密。調(diào)研機(jī)構(gòu)最近發(fā)布的一份報(bào)告發(fā)現(xiàn)，在迅速變化的威脅形勢(shì)下，40%的首席安全官認(rèn)為他們的企業(yè)并沒(méi)有對(duì)網(wǎng)絡(luò)安全做好充分的準(zhǔn)備。這一統(tǒng)計(jì)數(shù)據(jù)表明，過(guò)去幾年，數(shù)字化轉(zhuǎn)型的步伐加快，網(wǎng)絡(luò)攻擊面擴(kuò)大。
　　網(wǎng)絡(luò)安全管理及安全分析服務(wù)商SkyboxSecurity公司的高級(jí)技術(shù)總監(jiān)DavidAnteliz對(duì)企業(yè)必須從以嚴(yán)重性為中心轉(zhuǎn)變?yōu)橐燥L(fēng)險(xiǎn)為中心進(jìn)行了分析和闡述。他指出，采用主動(dòng)和全面的安全策略可以幫助安全團(tuán)隊(duì)?wèi)?yīng)對(duì)網(wǎng)絡(luò)安全威脅。

　　很多企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略已經(jīng)落后，這并不是什么秘密。調(diào)研機(jī)構(gòu)最近發(fā)布的一份報(bào)告發(fā)現(xiàn)，在迅速變化的威脅形勢(shì)下，40%的首席安全官認(rèn)為他們的企業(yè)并沒(méi)有對(duì)網(wǎng)絡(luò)安全做好充分的準(zhǔn)備。這一統(tǒng)計(jì)數(shù)據(jù)表明，過(guò)去幾年，數(shù)字化轉(zhuǎn)型的步伐加快，網(wǎng)絡(luò)攻擊面擴(kuò)大。

　　與此同時(shí)，網(wǎng)絡(luò)犯罪的復(fù)雜性也在不斷增加，新的漏洞數(shù)量也在不斷增加。即使是更早的漏洞(例如Log4j)，在未來(lái)幾年仍將對(duì)企業(yè)構(gòu)成威脅。

　　Anteliz表示，全球在2021年公布了20174個(gè)新漏洞，高于2020年的18341個(gè)，這凸顯出漏洞的數(shù)量快速增長(zhǎng)。在過(guò)去的一年，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了30多個(gè)安全警告，警告企業(yè)防范一些能夠被利用的漏洞，其中許多漏洞影響了各行業(yè)組織。影響許多設(shè)備和企業(yè)的警報(bào)的一個(gè)例子是Icefall漏洞，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)為此在去年6月發(fā)布了警報(bào)提醒公眾。這些警報(bào)解決了56個(gè)影響全球幾個(gè)關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中操作技術(shù)(OT)設(shè)備的漏洞。受到影響的供應(yīng)商包括霍尼韋爾、摩托羅拉、歐姆龍、西門(mén)子、艾默生、JTEKT、BentleyNevad、PhoenixContract、ProConOS以及Yokogawa等公司。

　　影響企業(yè)運(yùn)營(yíng)業(yè)務(wù)的漏洞并不復(fù)雜，導(dǎo)致企業(yè)無(wú)法最大限度地減少摩擦，也無(wú)法集中精力于健康安全和環(huán)境(HSE)影響。這使得網(wǎng)絡(luò)威脅行為者能夠更快地發(fā)現(xiàn)新的攻擊并將其武器化，從而導(dǎo)致許多漏洞。

　　網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)董事會(huì)擔(dān)憂(yōu)的一個(gè)主要問(wèn)題。安全團(tuán)隊(duì)努力應(yīng)對(duì)不斷擴(kuò)大的技能差距、日益分散的網(wǎng)絡(luò)、可見(jiàn)性和補(bǔ)救以及掃描差距所導(dǎo)致工作負(fù)載不斷增加等問(wèn)題。安全團(tuán)隊(duì)的任務(wù)是克服日益嚴(yán)峻的挑戰(zhàn)，發(fā)現(xiàn)和補(bǔ)救具有最高業(yè)務(wù)風(fēng)險(xiǎn)的漏洞。數(shù)據(jù)泄露對(duì)企業(yè)的業(yè)務(wù)影響可能是巨大的。隨著威脅和壓力的增加，那些繼續(xù)依賴(lài)傳統(tǒng)反應(yīng)性網(wǎng)絡(luò)安全方法的企業(yè)將會(huì)繼續(xù)落后。

　　漏洞掃描并不足夠安全

　　通常使用的“掃描和補(bǔ)丁”策略忽略了現(xiàn)代漏洞管理的關(guān)鍵組件，特別是在設(shè)置修復(fù)優(yōu)先級(jí)時(shí)。僅靠掃描程序無(wú)法提供足夠完整的網(wǎng)絡(luò)拓?fù)湫畔ⅲ瘓?bào)會(huì)使安全運(yùn)營(yíng)過(guò)載，因此無(wú)法正確識(shí)別企業(yè)面臨的真實(shí)風(fēng)險(xiǎn)。

　　采用傳統(tǒng)的方法可能會(huì)讓資源有限的團(tuán)隊(duì)感到沮喪，例如依賴(lài)電子表格和人工評(píng)估來(lái)獲取漏洞的洞察。這些方法未能包括所有影響漏洞風(fēng)險(xiǎn)的因素，導(dǎo)致安全團(tuán)隊(duì)無(wú)意中將資源浪費(fèi)在網(wǎng)絡(luò)犯罪分子可能永遠(yuǎn)不會(huì)發(fā)現(xiàn)或不知道如何利用的問(wèn)題上。

　　如果沒(méi)有及時(shí)、準(zhǔn)確地檢測(cè)高風(fēng)險(xiǎn)漏洞并確定其優(yōu)先級(jí)，安全團(tuán)隊(duì)將無(wú)法成功降低企業(yè)面臨風(fēng)險(xiǎn)，即使他們關(guān)閉了大量漏洞。現(xiàn)在是采取新方法的時(shí)候了，將網(wǎng)絡(luò)安全從被動(dòng)措施轉(zhuǎn)變?yōu)橹鲃?dòng)識(shí)別和降低風(fēng)險(xiǎn)的有效流程。

　　最近美國(guó)國(guó)家安全局(NSA)和美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的指南打開(kāi)了一個(gè)新的窗口，強(qiáng)調(diào)了企業(yè)從傳統(tǒng)方法轉(zhuǎn)向漏洞管理的重要性，并指出保護(hù)OT/ICS的傳統(tǒng)方法不能充分解決當(dāng)前對(duì)這些系統(tǒng)的威脅。該指南建議創(chuàng)建一個(gè)完整的“連接清單”，作為緩解風(fēng)險(xiǎn)的關(guān)鍵步驟，還強(qiáng)調(diào)了在黑客攻擊之前消除漏洞暴露風(fēng)險(xiǎn)的重要性。為了成功地遵循這些建議，企業(yè)必須采取積極主動(dòng)的方法來(lái)進(jìn)行漏洞管理，學(xué)習(xí)在威脅環(huán)境中識(shí)別和優(yōu)先考慮暴露的漏洞。

　　采用基于風(fēng)險(xiǎn)的方法

　　安全團(tuán)隊(duì)?wèi)?yīng)該尋求采用基于風(fēng)險(xiǎn)的方法來(lái)進(jìn)行漏洞管理，通過(guò)使用更復(fù)雜的評(píng)估策略、優(yōu)先級(jí)和補(bǔ)救功能來(lái)增加對(duì)消除網(wǎng)絡(luò)犯罪分子可見(jiàn)的漏洞的關(guān)注。

　　基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全方法對(duì)于任何網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃都是必不可少的。通過(guò)量化風(fēng)險(xiǎn)的概率和將產(chǎn)生的影響，企業(yè)可以就是否減輕、接受或轉(zhuǎn)移風(fēng)險(xiǎn)做出明智的決定。這種方法可以幫助企業(yè)更有效地分配資源，這比以往任何時(shí)候都更重要，并更快速有效地響應(yīng)網(wǎng)絡(luò)威脅。基于風(fēng)險(xiǎn)的管理還使安全優(yōu)先級(jí)與業(yè)務(wù)保持一致，并幫助安全領(lǐng)導(dǎo)者在他們的觀點(diǎn)和結(jié)果上更具戰(zhàn)略性。

　　基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全戰(zhàn)略有多個(gè)方面，其中，企業(yè)應(yīng)該關(guān)注成功實(shí)施的三個(gè)關(guān)鍵組成部分：

　　•漏洞分析：通過(guò)進(jìn)行漏洞分析，企業(yè)可以識(shí)別可利用的漏洞，并在企業(yè)的網(wǎng)絡(luò)配置和安全控制中關(guān)聯(lián)數(shù)據(jù)，以確定網(wǎng)絡(luò)攻擊在哪里構(gòu)成最高風(fēng)險(xiǎn)，該策略決定了可以用來(lái)訪問(wèn)易受網(wǎng)絡(luò)攻擊的攻擊向量或網(wǎng)絡(luò)路徑。

　　•風(fēng)險(xiǎn)評(píng)分：網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)分為企業(yè)評(píng)估安全態(tài)勢(shì)提供了一個(gè)客觀的衡量標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)考慮了一系列風(fēng)險(xiǎn)因素，包括關(guān)鍵資產(chǎn)脫機(jī)的財(cái)務(wù)影響、威脅情報(bào)的可利用性、曝光率和資產(chǎn)重要性。風(fēng)險(xiǎn)評(píng)分能夠使企業(yè)在對(duì)手破壞系統(tǒng)時(shí)量化每天的業(yè)務(wù)成本。

　　•漏洞評(píng)估和優(yōu)先級(jí)：該策略允許具有復(fù)雜環(huán)境和有限資源的企業(yè)在最重要的地方通過(guò)優(yōu)先考慮構(gòu)成最大風(fēng)險(xiǎn)的漏洞來(lái)實(shí)現(xiàn)這一點(diǎn)。為了確定嚴(yán)重程度，漏洞評(píng)估和優(yōu)先級(jí)可以自動(dòng)考慮威脅情報(bào)、資產(chǎn)場(chǎng)景和攻擊路徑分析。

　　基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全管理方法具有變革性，使企業(yè)能夠?qū)Ｗ⒂谄渥钪匾馁Y產(chǎn)，并主動(dòng)預(yù)防威脅。自動(dòng)化解決方案使快速有效地實(shí)現(xiàn)基于風(fēng)險(xiǎn)的方法成為可能，并為安全團(tuán)隊(duì)節(jié)省寶貴的時(shí)間，還提供了持續(xù)監(jiān)控風(fēng)險(xiǎn)和實(shí)時(shí)自動(dòng)響應(yīng)變化的能力。最近的一項(xiàng)行業(yè)基準(zhǔn)研究發(fā)現(xiàn)，在2021年沒(méi)有出現(xiàn)數(shù)據(jù)泄露的企業(yè)中，48%是基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)者。