網(wǎng)絡(luò)安全是確保信息的完整性、保密性和可用性的實(shí)踐。它代表防御安全事故和從安全事故中恢復(fù)的能力。這些安全事故包括硬盤故障或斷電，以及來(lái)自競(jìng)爭(zhēng)對(duì)手的網(wǎng)絡(luò)攻擊等。后者包括腳本小子、黑客、有能力執(zhí)行高級(jí)持續(xù)性威脅(APT)的犯罪團(tuán)伙，以及其他可對(duì)企業(yè)構(gòu)成嚴(yán)重威脅的人。業(yè)務(wù)連續(xù)性和災(zāi)難恢復(fù)能力對(duì)于網(wǎng)絡(luò)安全(例如應(yīng)用安全和狹義的網(wǎng)絡(luò)安全)至關(guān)重要。

[[216430]]

安全應(yīng)該成為整個(gè)企業(yè)的首要考慮因素，且得到高級(jí)管理層的授權(quán)。我們?nèi)缃裆畹男畔⑹澜绲拇嗳跣砸残枰獜?qiáng)大的網(wǎng)絡(luò)安全控制戰(zhàn)略。管理人員應(yīng)該明白，所有的系統(tǒng)都是按照一定的安全標(biāo)準(zhǔn)建立起來(lái)的，且員工都需要經(jīng)過(guò)適當(dāng)?shù)呐嘤?xùn)。例如，所有代碼都可能存在漏洞，其中一些漏洞還是關(guān)鍵的安全缺陷。畢竟，開(kāi)發(fā)者也只是普通人而已難免出錯(cuò)。

一、安全培訓(xùn)

人往往是網(wǎng)絡(luò)安全規(guī)劃中最薄弱的環(huán)節(jié)。培訓(xùn)開(kāi)發(fā)人員進(jìn)行安全編碼，培訓(xùn)操作人員優(yōu)先考慮強(qiáng)大的安全狀況，培訓(xùn)最終用戶識(shí)別網(wǎng)絡(luò)釣魚(yú)郵件和社會(huì)工程攻擊——總而言之，網(wǎng)絡(luò)安全始于意識(shí)。

然而，即便是有強(qiáng)大的網(wǎng)絡(luò)安全控制措施，所有企業(yè)還是難逃遭遇某種網(wǎng)絡(luò)攻擊的威脅。攻擊者總是利用最薄弱的環(huán)節(jié)，但是其實(shí)只要通過(guò)執(zhí)行一些基本的安全任務(wù)——有時(shí)被稱為“網(wǎng)絡(luò)衛(wèi)生”，很多攻擊都是可以輕松防護(hù)的。外科醫(yī)生不洗手決不允許進(jìn)入手術(shù)室。同樣地，企業(yè)也有責(zé)任執(zhí)行維護(hù)網(wǎng)絡(luò)安全的基本要求，例如保持強(qiáng)大的身份驗(yàn)證實(shí)踐，以及不將敏感數(shù)據(jù)存儲(chǔ)在可以公開(kāi)訪問(wèn)的地方。

然而，一個(gè)好的網(wǎng)絡(luò)安全戰(zhàn)略需要的卻不僅僅是這些基本實(shí)踐。技術(shù)精湛的黑客可以規(guī)避大多數(shù)的防御措施和攻擊面——對(duì)于大多數(shù)企業(yè)而言，攻擊者入侵系統(tǒng)的方式或“向量”數(shù)正在不斷擴(kuò)張。例如，隨著信息和現(xiàn)實(shí)世界的日益融合，犯罪分子和國(guó)家間諜組織正在威脅物理網(wǎng)絡(luò)系統(tǒng)的ICA，如汽車、發(fā)電廠、醫(yī)療設(shè)備，甚至你的物聯(lián)網(wǎng)冰箱。同樣地，云計(jì)算的普及應(yīng)用趨勢(shì)，自帶設(shè)備辦公(BYOD)以及物聯(lián)網(wǎng)(IoT)的蓬勃發(fā)展也帶來(lái)了新的安全挑戰(zhàn)。對(duì)于這些系統(tǒng)的安全防御工作變得尤為重要。

網(wǎng)絡(luò)安全進(jìn)一步復(fù)雜化的另一個(gè)突出表現(xiàn)是圍繞消費(fèi)者隱私的監(jiān)管環(huán)境。遵守像歐盟《通用數(shù)據(jù)保護(hù)條例》(GDPR)這樣嚴(yán)格的監(jiān)管框架還要求賦予新的角色，以確保組織能夠滿足GDPR和其他法規(guī)對(duì)于隱私和安全的合規(guī)要求。

如此一來(lái)，對(duì)于網(wǎng)絡(luò)安全專業(yè)人才的需求開(kāi)始進(jìn)一步增長(zhǎng)，招聘經(jīng)理們正在努力挑選合適的候選人來(lái)填補(bǔ)職位空缺。但是，對(duì)于目前這種供求失衡的現(xiàn)狀就需要組織能夠把重點(diǎn)放在風(fēng)險(xiǎn)最大的領(lǐng)域中。

二、網(wǎng)絡(luò)安全類型

網(wǎng)絡(luò)安全的范圍非常廣，但其核心領(lǐng)域主要如下所述，對(duì)于這些核心領(lǐng)域任何企業(yè)都需要予以高度的重視，將其考慮到自身的網(wǎng)絡(luò)安全戰(zhàn)略之中：

1. 關(guān)鍵基礎(chǔ)設(shè)施

關(guān)鍵基礎(chǔ)設(shè)施包括社會(huì)所依賴的物理網(wǎng)絡(luò)系統(tǒng)，包括電網(wǎng)、凈水系統(tǒng)、交通信號(hào)燈以及醫(yī)院系統(tǒng)等。例如，發(fā)電廠聯(lián)網(wǎng)后就會(huì)很容易遭受網(wǎng)絡(luò)攻擊。負(fù)責(zé)關(guān)鍵基礎(chǔ)設(shè)施的組織的解決方案是執(zhí)行盡職調(diào)查，以確保了解這些漏洞并對(duì)其進(jìn)行防范。其他所有人也都應(yīng)該對(duì)他們所依賴的關(guān)鍵基礎(chǔ)設(shè)施，在遭遇網(wǎng)絡(luò)攻擊后會(huì)對(duì)他們自身造成的影響進(jìn)行評(píng)估，然后制定應(yīng)急計(jì)劃。

2. 網(wǎng)絡(luò)安全(狹義)

網(wǎng)絡(luò)安全要求能夠防范未經(jīng)授權(quán)的入侵行為以及惡意的內(nèi)部人員。確保網(wǎng)絡(luò)安全通常需要權(quán)衡利弊。例如，訪問(wèn)控制(如額外登錄)對(duì)于安全而言可能是必要的，但它同時(shí)也會(huì)降低生產(chǎn)力。

用于監(jiān)控網(wǎng)絡(luò)安全的工具會(huì)生成大量的數(shù)據(jù)，但是由于生成的數(shù)據(jù)量太多導(dǎo)致經(jīng)常會(huì)忽略有效的告警。為了更好地管理網(wǎng)絡(luò)安全監(jiān)控，安全團(tuán)隊(duì)越來(lái)越多地使用機(jī)器學(xué)習(xí)來(lái)標(biāo)記異常流量，并實(shí)時(shí)生成威脅警告。

3. 云安全

越來(lái)越多的企業(yè)將數(shù)據(jù)遷移到云中也會(huì)帶來(lái)新的安全挑戰(zhàn)。例如，2017年幾乎每周都會(huì)報(bào)道由于云實(shí)例配置不當(dāng)而導(dǎo)致的數(shù)據(jù)泄露事件。云服務(wù)提供商正在創(chuàng)建新的安全工具，以幫助企業(yè)用戶能夠更好地保護(hù)他們的數(shù)據(jù)，但是需要提醒大家的是：對(duì)于網(wǎng)絡(luò)安全而言，遷移到云端并不是執(zhí)行盡職調(diào)查的靈丹妙藥。

4. 應(yīng)用安全

應(yīng)用程序安全(AppSec)，尤其是Web應(yīng)用程序安全已經(jīng)成為最薄弱的攻擊技術(shù)點(diǎn)，但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應(yīng)用程序安全應(yīng)該從安全編碼實(shí)踐開(kāi)始，并通過(guò)模糊和滲透測(cè)試來(lái)增強(qiáng)。

應(yīng)用程序的快速開(kāi)發(fā)和部署到云端使得DevOps作為一門新興學(xué)科應(yīng)運(yùn)而生。DevOps團(tuán)隊(duì)通常將業(yè)務(wù)需求置于安全之上，考慮到威脅的擴(kuò)散，這個(gè)關(guān)注點(diǎn)可能會(huì)發(fā)生變化。

5. 物聯(lián)網(wǎng)(IoT)安全

物聯(lián)網(wǎng)指的是各種關(guān)鍵和非關(guān)鍵的物理網(wǎng)絡(luò)系統(tǒng)，例如家用電器、傳感器、打印機(jī)以及安全攝像頭等。物聯(lián)網(wǎng)設(shè)備經(jīng)常處于不安全的狀態(tài)，且?guī)缀醪惶峁┌踩a(bǔ)丁，這樣一來(lái)不僅會(huì)威脅到用戶，還會(huì)威脅到互聯(lián)網(wǎng)上的其他人，因?yàn)檫@些設(shè)備經(jīng)常會(huì)被惡意行為者用來(lái)構(gòu)建僵尸網(wǎng)絡(luò)。這為家庭用戶和社會(huì)帶來(lái)了獨(dú)特的安全挑戰(zhàn)。

三、網(wǎng)絡(luò)威脅類型

常見(jiàn)的網(wǎng)絡(luò)威脅主要包括以下三類：

1. 保密性攻擊

很多網(wǎng)絡(luò)攻擊都是從竊取或復(fù)制目標(biāo)的個(gè)人信息開(kāi)始的，包括各種各樣的犯罪攻擊活動(dòng)，如信用卡欺詐、身份盜竊、或盜取比特幣錢包。國(guó)家間諜也將保密性攻擊作為其工作的重要部分，試圖獲取政治、軍事或經(jīng)濟(jì)利益方面的機(jī)密信息。

2. 完整性攻擊

一般來(lái)說(shuō)，完整性攻擊是為了破壞、損壞、摧毀信息或系統(tǒng)，以及依賴這些信息或系統(tǒng)的人。完整性攻擊可以是微妙的——小范圍的篡改和破壞，也可以是災(zāi)難性的——大規(guī)模的對(duì)目標(biāo)進(jìn)行破壞。攻擊者的范圍可以從腳本小子到國(guó)家間諜組織。

3. 可用性攻擊

阻止目標(biāo)訪問(wèn)數(shù)據(jù)是如今勒索軟件和拒絕服務(wù)(DoS)攻擊最常見(jiàn)的形式。勒索軟件一般會(huì)加密目標(biāo)設(shè)備的數(shù)據(jù)，并索要贖金進(jìn)行解密。拒絕服務(wù)(DoS)攻擊(通常以分布式拒絕服務(wù)攻擊的形式)向目標(biāo)發(fā)送大量的請(qǐng)求占用網(wǎng)絡(luò)資源，使網(wǎng)絡(luò)資源不可用。

這些攻擊的實(shí)現(xiàn)方式：

1. 社會(huì)工程學(xué)

如果攻擊者能夠直接從人類身上找到入口，就不能大費(fèi)周章地入侵計(jì)算機(jī)設(shè)備了。社會(huì)工程惡意軟件通常用于傳播勒索軟件，是排名第一的攻擊手段(而不是緩沖區(qū)溢出、配置錯(cuò)誤或高級(jí)漏洞利用)。通過(guò)社會(huì)工程手段能夠誘騙最終用戶運(yùn)行木馬程序，這些程序通常來(lái)自他們信任的和經(jīng)常訪問(wèn)的網(wǎng)站。持續(xù)的用戶安全意識(shí)培訓(xùn)是對(duì)抗此類攻擊的最佳措施。

2. 網(wǎng)絡(luò)釣魚(yú)攻擊

有時(shí)候盜取別人密碼最好的方法就是誘騙他們自己提供，這主要取決于網(wǎng)絡(luò)釣魚(yú)攻擊的成功實(shí)踐。即便是在安全方面訓(xùn)練有素的聰明用戶也可能遭受網(wǎng)絡(luò)釣魚(yú)攻擊。這就是雙因素身份認(rèn)證(2FA)成為最佳防護(hù)措施的原因——如果沒(méi)有第二個(gè)因素(如硬件安全令牌或用戶手機(jī)上的軟件令牌認(rèn)證程序)，那么盜取到的密碼對(duì)攻擊者而言將毫無(wú)意義。

3. 未修復(fù)的軟件

如果攻擊者對(duì)你發(fā)起零日漏洞攻擊，你可能很難去責(zé)怪企業(yè)，但是，如果企業(yè)沒(méi)有安裝補(bǔ)丁就好比其沒(méi)有執(zhí)行盡職調(diào)查。如果漏洞已經(jīng)披露了幾個(gè)月甚至幾年的時(shí)間，而企業(yè)仍舊沒(méi)有安裝安全補(bǔ)丁程序，那么就難免會(huì)被指控疏忽。所以，記得補(bǔ)丁、補(bǔ)丁、補(bǔ)丁，重要的事說(shuō)三遍!

4. 社交媒體威脅

“Catfishing”一詞一般指在網(wǎng)絡(luò)環(huán)境中對(duì)自己的情況有所隱瞞，通過(guò)精心編造一個(gè)優(yōu)質(zhì)的網(wǎng)絡(luò)身份，目的是為了給他人留下深刻印象，尤其是為了吸引某人與其發(fā)展戀愛(ài)關(guān)系。不過(guò)，Catfishing可不只適用于約會(huì)場(chǎng)景。可信的“馬甲”賬戶能夠通過(guò)你的LinkedIn網(wǎng)絡(luò)傳播蠕蟲(chóng)。如果有人非常了解你的職業(yè)聯(lián)系方式，并發(fā)起與你工作有關(guān)的談話，您會(huì)覺(jué)得奇怪嗎? 正所謂“口風(fēng)不嚴(yán)戰(zhàn)艦沉”，希望無(wú)論是企業(yè)還是國(guó)家都應(yīng)該加強(qiáng)重視社會(huì)媒體間諜活動(dòng)。

5. 高級(jí)持續(xù)性威脅(APT)

其實(shí)國(guó)家間諜可不只存在于國(guó)家以及政府組織之間，企業(yè)中也存在此類攻擊者。所以，如果有多個(gè)APT攻擊在你的公司網(wǎng)絡(luò)上玩起“捉迷藏”的游戲，請(qǐng)不要感到驚訝。如果貴公司從事的是對(duì)任何人或任何地區(qū)具有持久利益的業(yè)務(wù)，那么您就需要考慮自己公司的安全狀況，以及如何應(yīng)對(duì)復(fù)雜的APT攻擊了。在科技領(lǐng)域，這種情況尤為顯著，這個(gè)充斥著各種寶貴知識(shí)產(chǎn)權(quán)的行業(yè)一直令很多犯罪分子和國(guó)家間諜垂涎欲滴。

四、網(wǎng)絡(luò)安全職業(yè)

執(zhí)行強(qiáng)大的網(wǎng)絡(luò)安全戰(zhàn)略還需要有合適的人選。對(duì)于專業(yè)網(wǎng)絡(luò)安全人員的需求從未像現(xiàn)在這樣高過(guò)，包括C級(jí)管理人員和一線安全工程師。雖然公司對(duì)于數(shù)據(jù)保護(hù)意識(shí)的提升，安全部門領(lǐng)導(dǎo)人已經(jīng)開(kāi)始躋身C級(jí)管理層和董事會(huì)?，F(xiàn)在，首席安全官(CSO)或首席信息安全官(CISO)已經(jīng)成為任何正規(guī)組織都必須具備的核心管理職位。

此外，角色也變得更加專業(yè)化。通用安全分析師的時(shí)代正在走向衰落。如今，滲透測(cè)試人員可能會(huì)將重點(diǎn)放在應(yīng)用程序安全、網(wǎng)絡(luò)安全或是強(qiáng)化網(wǎng)絡(luò)釣魚(yú)用戶的安全防范意識(shí)等方面。 事件響應(yīng)也開(kāi)始普及全天制(7×24小時(shí))。以下是安全團(tuán)隊(duì)中的一些基本角色：

1. 首席信息安全官/首席安全官

首席信息安全官是C級(jí)管理人員，負(fù)責(zé)監(jiān)督一個(gè)組織的IT安全部門和其他相關(guān)人員的操作行為。此外，首席信息安全官還負(fù)責(zé)指導(dǎo)和管理戰(zhàn)略、運(yùn)營(yíng)以及預(yù)算，以確保組織的信息資產(chǎn)安全。

2. 安全分析師

安全分析師也被稱為網(wǎng)絡(luò)安全分析師、數(shù)據(jù)安全分析師、信息系統(tǒng)安全分析師或IT安全分析師。這一角色通常具有以下職責(zé):

• 計(jì)劃、實(shí)施和升級(jí)安全措施和控制措施 ;
• 保護(hù)數(shù)字文件和信息系統(tǒng)免受未經(jīng)授權(quán)的訪問(wèn)、修改或破壞;
• 維護(hù)數(shù)據(jù)和監(jiān)控安全訪問(wèn);
• 執(zhí)行內(nèi)/外部安全審計(jì);
• 管理網(wǎng)絡(luò)、入侵檢測(cè)和防護(hù)系統(tǒng); 分析安全違規(guī)行為以確定其實(shí)現(xiàn)原理及根本原因;
• 定義、實(shí)施和維護(hù)企業(yè)安全策略;
• 與外部廠商協(xié)調(diào)安全計(jì)劃;

3. 安全架構(gòu)師

一個(gè)好的信息安全架構(gòu)師需要能夠跨越業(yè)務(wù)和技術(shù)領(lǐng)域。雖然該角色在行業(yè)細(xì)節(jié)上會(huì)有所不同，但它也是一位高級(jí)職位，主要負(fù)責(zé)計(jì)劃、分析、設(shè)計(jì)、配置、測(cè)試、實(shí)施、維護(hù)和支持組織的計(jì)算機(jī)和網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施。這就需要安全架構(gòu)師能夠全面了解企業(yè)的業(yè)務(wù)，及其技術(shù)和信息需求。

4. 安全工程師

安全工程師的工作是保護(hù)公司資產(chǎn)免受威脅的第一線。這項(xiàng)工作需要具備強(qiáng)大的技術(shù)、組織和溝通能力。IT安全工程師是一個(gè)相對(duì)較新的職位，其重點(diǎn)在于IT基礎(chǔ)設(shè)施中的質(zhì)量控制。這包括設(shè)計(jì)、構(gòu)建和防護(hù)可擴(kuò)展的、安全和強(qiáng)大的系統(tǒng);運(yùn)營(yíng)數(shù)據(jù)中心系統(tǒng)和網(wǎng)絡(luò);幫助組織了解先進(jìn)的網(wǎng)絡(luò)威脅;并幫助企業(yè)制定網(wǎng)絡(luò)安全戰(zhàn)略來(lái)保護(hù)這些網(wǎng)絡(luò)。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文