網(wǎng)絡(luò)安全是一場(chǎng)跌宕起伏，永無(wú)止境的拉鋸戰(zhàn)。攻擊者的技術(shù)和手法不斷花樣翻新，主打一個(gè)“避實(shí)就虛”和“出奇制勝”;防御者的策略則強(qiáng)調(diào)“求之于勢(shì)，不責(zé)于人”，依靠整體安全態(tài)勢(shì)和風(fēng)險(xiǎn)策略的成熟度和韌性來(lái)化解風(fēng)險(xiǎn)。

此外，經(jīng)常被忽視的一點(diǎn)是，基礎(chǔ)安全策略和實(shí)踐同樣重要。根據(jù)微軟2023年數(shù)字防御風(fēng)險(xiǎn)報(bào)告，良好的基礎(chǔ)安全實(shí)踐可以防御99%的網(wǎng)絡(luò)攻擊。例如，漏洞管理、安全意識(shí)培訓(xùn)以及定期的安全評(píng)估工作。

本文我們將重點(diǎn)介紹安全評(píng)估工作的重要性及常見(jiàn)的七大企業(yè)安全態(tài)勢(shì)漏洞。

定期評(píng)估安全態(tài)勢(shì)的重要性

企業(yè)建設(shè)彈性安全態(tài)勢(shì)始于發(fā)現(xiàn)和識(shí)別現(xiàn)有漏洞。然而，大多數(shù)企業(yè)的漏洞可見(jiàn)性都很差。當(dāng)被問(wèn)及所在企業(yè)的漏洞可視性時(shí)，只有不到一半的網(wǎng)絡(luò)安全專業(yè)人員表示擁有高(35%)或完全(11%)的可視性。超過(guò)半數(shù)(51%)的企業(yè)對(duì)自身的漏洞只有中等的可見(jiàn)性。

定期的安全評(píng)估是企業(yè)了解自身安全態(tài)勢(shì)和風(fēng)險(xiǎn)的主要方式之一。這些評(píng)估會(huì)全面審查企業(yè)的網(wǎng)絡(luò)安全實(shí)踐和基礎(chǔ)設(shè)施，評(píng)估的范圍和頻率取決于企業(yè)的需求和風(fēng)險(xiǎn)管理計(jì)劃的成熟度。

安全成熟度和與安全評(píng)估頻率的關(guān)系

• 未成熟或無(wú)風(fēng)險(xiǎn)策略：不定期進(jìn)行評(píng)估，或僅按臨時(shí)計(jì)劃進(jìn)行評(píng)估。
• 初始或臨時(shí)風(fēng)險(xiǎn)策略：通常每季度或每月進(jìn)行一次評(píng)估。
• 成熟或既定策略：通常每月進(jìn)行一次評(píng)估。
• 高級(jí)策略：定期評(píng)估會(huì)納入整體風(fēng)險(xiǎn)管理計(jì)劃，每月或每周進(jìn)行一次。

不同安全成熟度的安全評(píng)估頻率

常見(jiàn)安全框架的測(cè)試頻率

• NISTCSF：美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)的指南根據(jù)治理框架的具體指南，從每季度到每月掃描不等。
• PCIDSS：支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)要求每季度進(jìn)行掃描。
• HIPAA：健康保險(xiǎn)可攜性責(zé)任法案(HIPAA)沒(méi)有要求具體掃描間隔，但強(qiáng)調(diào)制定明確的評(píng)估策略的重要性。

定期安全評(píng)估任務(wù)類型

• 漏洞掃描
• 滲透測(cè)試
• 突發(fā)事件和勒索軟件模擬
• 安全聲譽(yù)掃描
• 業(yè)務(wù)影響分析
• 安全態(tài)勢(shì)評(píng)估

定期的安全評(píng)估就像企業(yè)網(wǎng)絡(luò)的“體檢”工作，能夠早期發(fā)現(xiàn)和識(shí)別潛在的安全威脅和漏洞。

安全態(tài)勢(shì)六大常見(jiàn)漏洞

以下是定期安全態(tài)勢(shì)評(píng)估發(fā)現(xiàn)的企業(yè)安全態(tài)勢(shì)七大常見(jiàn)漏洞：

一、缺乏精準(zhǔn)漏洞管理能力

在解決了漏洞的可見(jiàn)性問(wèn)題后，接下來(lái)的難題是如何根據(jù)漏洞的嚴(yán)重性和潛在影響劃分優(yōu)先級(jí)，并有效緩解已知漏洞。

企業(yè)必須認(rèn)識(shí)到，漏洞管理是安全運(yùn)營(yíng)的“基本功”和關(guān)鍵任務(wù)，企業(yè)能夠處理的漏洞數(shù)量遠(yuǎn)遠(yuǎn)趕不上漏洞增長(zhǎng)的速度。因此，企業(yè)如果沒(méi)有精準(zhǔn)高效的漏洞管理能力，安全債和風(fēng)險(xiǎn)就會(huì)像滾雪球般越來(lái)越大。

二、檢測(cè)和監(jiān)控不足

檢測(cè)系統(tǒng)不足會(huì)導(dǎo)致企業(yè)對(duì)正在進(jìn)行的威脅視而不見(jiàn)，從而使攻擊者能夠長(zhǎng)時(shí)間操作而不被發(fā)現(xiàn)。如果沒(méi)有必要的檢測(cè)系統(tǒng)，例如先進(jìn)的入侵檢測(cè)系統(tǒng)(IDS)或安全信息和事件管理(SIEM)解決方案，企業(yè)將面臨錯(cuò)過(guò)威脅檢測(cè)、攻擊者駐留時(shí)間增加以及數(shù)據(jù)泄露風(fēng)險(xiǎn)增高的風(fēng)險(xiǎn)。因此，企業(yè)非常有必要購(gòu)買先進(jìn)的監(jiān)控工具，部署先進(jìn)的威脅檢測(cè)和響應(yīng)技術(shù)，利用行為分析進(jìn)行異常檢測(cè)，并進(jìn)行威脅狩獵演習(xí)，這些都是增強(qiáng)檢測(cè)能力的關(guān)鍵措施。

強(qiáng)大的檢測(cè)和監(jiān)控能力不僅能加快威脅檢測(cè)和響應(yīng)速度，而且有助于企業(yè)不斷更新和改進(jìn)檢測(cè)方法，以領(lǐng)先于網(wǎng)絡(luò)犯罪分子日新月異的攻擊媒介和技術(shù)。

三、缺乏全面的安全政策和流程

企業(yè)需要正式、全面的網(wǎng)絡(luò)安全政策和程序來(lái)有效管理安全風(fēng)險(xiǎn)，否則會(huì)產(chǎn)生許多后果，包括跨部門安全實(shí)踐不一致、事件響應(yīng)能力減弱、難以確保合規(guī)以及面臨更大的法律、監(jiān)管、財(cái)務(wù)和聲譽(yù)后果。制定和實(shí)施全面的安全政策涉及明確制定和記錄這些政策，確保有效傳達(dá)給所有員工并教育他們遵守安全政策的重要性。

面對(duì)不斷變化的網(wǎng)絡(luò)威脅形勢(shì)，企業(yè)還需要定期審查、更新和調(diào)整安全政策，確保網(wǎng)絡(luò)安全措施的有效性。此外，擁有一套明確定義的流程有助于標(biāo)準(zhǔn)化安全事件響應(yīng)，這有助于在發(fā)生網(wǎng)絡(luò)攻擊事件時(shí)減小損失并縮短恢復(fù)時(shí)間。

四、缺乏滲透測(cè)試和安全演練

定期測(cè)試安全系統(tǒng)和事件響應(yīng)計(jì)劃對(duì)于識(shí)別防御弱點(diǎn)至關(guān)重要。這包括定期進(jìn)行滲透測(cè)試以發(fā)現(xiàn)漏洞、創(chuàng)建、演練和不斷改進(jìn)事件響應(yīng)計(jì)劃，以及與第三方安全評(píng)估公司合作。定期安全測(cè)試的重要性不容忽視，因?yàn)樗粌H有助于在攻擊者之前識(shí)別漏洞，還可以評(píng)估現(xiàn)有安全控制的有效性。

五、網(wǎng)絡(luò)安全意識(shí)培訓(xùn)不足

缺乏安全意識(shí)培訓(xùn)的員工更容易成為黑客的獵物，成為擊垮整個(gè)企業(yè)網(wǎng)絡(luò)安全防御體系的“人肉漏洞”。此外，缺乏安全意識(shí)培訓(xùn)還會(huì)導(dǎo)致更多配置錯(cuò)誤和人為錯(cuò)誤，從而降低安全控制的有效性。企業(yè)需要提供持續(xù)的，高頻的網(wǎng)絡(luò)安全培訓(xùn)、鼓勵(lì)員工專業(yè)化發(fā)展并考取安全認(rèn)證，并高度重視安全意識(shí)文化建設(shè)。

安全意識(shí)培訓(xùn)有助于確保所有級(jí)別的員工都具備識(shí)別和有效應(yīng)對(duì)安全威脅的能力。通過(guò)讓員工對(duì)威脅保持了解并提高警惕，企業(yè)可顯著降低人為錯(cuò)誤導(dǎo)致的違規(guī)風(fēng)險(xiǎn)。最后，積極主動(dòng)的員工安全意識(shí)培訓(xùn)也是企業(yè)實(shí)施全面網(wǎng)絡(luò)安全策略的重要組成部分。

六、未采用和實(shí)施安全框架

選擇并遵循網(wǎng)絡(luò)安全框架對(duì)于建立結(jié)構(gòu)化安全方法的企業(yè)至關(guān)重要。框架的價(jià)值在于能夠提供清晰的安全路線圖、確保企業(yè)與行業(yè)最佳實(shí)踐保持一致，并促進(jìn)合規(guī)。企業(yè)可根據(jù)自身的特定需求和風(fēng)險(xiǎn)容忍度選擇合適的框架(例如NIST網(wǎng)絡(luò)安全框架)，并根據(jù)行業(yè)和監(jiān)管需求定制框架以符合企業(yè)的獨(dú)特要求。

安全框架為企業(yè)提供了一種結(jié)構(gòu)化方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，可幫助企業(yè)部署強(qiáng)大的安全措施和協(xié)議，提高企業(yè)的整體安全態(tài)勢(shì)。

七、不了解企業(yè)風(fēng)險(xiǎn)偏好

安全主管需要充分了解企業(yè)的風(fēng)險(xiǎn)偏，好并將其納入網(wǎng)絡(luò)安全策略，這一點(diǎn)至關(guān)重要。企業(yè)愿意接受的風(fēng)險(xiǎn)水平各不相同，這種差異會(huì)影響決策和資源分配，使企業(yè)網(wǎng)絡(luò)安全措施與企業(yè)的風(fēng)險(xiǎn)偏好和容忍度保持一致。

安全策略并非一成不變，而是受風(fēng)險(xiǎn)信息影響，企業(yè)需要監(jiān)控不斷變化的風(fēng)險(xiǎn)并相應(yīng)調(diào)整安全策略。這種方法可以提高網(wǎng)絡(luò)安全措施的主動(dòng)性，重點(diǎn)是預(yù)測(cè)潛在威脅并在攻擊發(fā)生之前進(jìn)行遏制。

結(jié)語(yǔ)

為了緩解上述安全態(tài)勢(shì)漏洞，建議企業(yè)實(shí)施行業(yè)公認(rèn)的安全框架，例如NISTCSF、CIS或SANS等。這些框架能幫助企業(yè)建立強(qiáng)大的網(wǎng)絡(luò)安全防御力;有針對(duì)性地制定和實(shí)施有效的安全政策，并確保員工定期進(jìn)行安全意識(shí)培訓(xùn)。總之，無(wú)論是漏洞管理還是安全培訓(xùn)，持續(xù)監(jiān)控和改進(jìn)至關(guān)重要，可及時(shí)識(shí)別和糾正安全差距。