著名的軍事家和哲學(xué)家孫子曰：“知彼知己者，百戰(zhàn)不殆。”兩千年前的這句名言放在時(shí)下網(wǎng)絡(luò)安全格局里是再恰當(dāng)不過(guò)的了。私營(yíng)部門(mén)和公共部門(mén)的安全負(fù)責(zé)人往往會(huì)忽略一些自己已經(jīng)擁有的網(wǎng)絡(luò)防御能力的基本問(wèn)題。就網(wǎng)絡(luò)安全領(lǐng)域而言，這可以歸結(jié)為以下的問(wèn)題：“我是否知道我的內(nèi)部控件在以應(yīng)有的工作方式運(yùn)作?我們的網(wǎng)絡(luò)狀況是否安全?”

了解內(nèi)部弱點(diǎn)和漏洞在時(shí)下尤其重要。公司處于非活動(dòng)期間時(shí)(例如美國(guó)最近的政府停擺時(shí))，一些組織特別容易發(fā)生數(shù)據(jù)泄露。安全證書(shū)可能在非活動(dòng)期間到期了，代理在此期間更虛弱更容易受到各種威脅。而且由于需要處理大量的積壓工作，安全團(tuán)隊(duì)也無(wú)暇處理基本的安全任務(wù)。

要真正做好應(yīng)對(duì)網(wǎng)絡(luò)威脅的準(zhǔn)備，各組織就必須開(kāi)始實(shí)施由內(nèi)而外的安全視圖，同時(shí)要注重網(wǎng)絡(luò)的凈化。

網(wǎng)絡(luò)核心的凈化

傳統(tǒng)上業(yè)界的公司都傾向于基于以下的假設(shè)管理網(wǎng)絡(luò)安全：供應(yīng)商的產(chǎn)品正常運(yùn)行及產(chǎn)品的部署和配置是正確的。

但在驗(yàn)證組織的網(wǎng)絡(luò)防御信息是否準(zhǔn)確以及驗(yàn)證無(wú)間隙或錯(cuò)誤信息方面卻存在欠缺。代理商需要以連續(xù)的方式驗(yàn)證控件，而不是將安全性測(cè)量視為單個(gè)快照。

美國(guó)國(guó)土安全部(DHS)最近通過(guò)推廣持續(xù)診斷和緩解(CDM https://www.dhs.gov/cdm)計(jì)劃也在強(qiáng)調(diào)這方面的工作。 CDM敦促政府機(jī)構(gòu)通過(guò)持續(xù)監(jiān)控達(dá)到實(shí)時(shí)了解自己的安全系統(tǒng)的目的。要拋棄靜態(tài)的滲透測(cè)試或?qū)徲?jì)轉(zhuǎn)用持續(xù)監(jiān)控，因?yàn)槌掷m(xù)監(jiān)控可以在更長(zhǎng)的時(shí)間里更全面地了解系統(tǒng)。如此代理商就可以針對(duì)控制是否可以保護(hù)關(guān)鍵資進(jìn)行量化和驗(yàn)證。而同時(shí)，安全負(fù)責(zé)人和團(tuán)隊(duì)也可以使用更有意義的指標(biāo)來(lái)管理自己的網(wǎng)絡(luò)安全計(jì)劃，可以推動(dòng)決策的制定、優(yōu)化運(yùn)營(yíng)并最終改善自己網(wǎng)絡(luò)的狀況。

“由內(nèi)而外”地看待網(wǎng)絡(luò)安全

盡管諸如CDM等計(jì)劃取得了一些進(jìn)展，但持續(xù)監(jiān)控仍需要解決方案實(shí)施的驗(yàn)證以及有關(guān)的數(shù)據(jù)。因此，私營(yíng)公司和政府機(jī)構(gòu)亟需采取以下“由內(nèi)而外”的網(wǎng)絡(luò)安全方法：

1、確定漏洞的精確點(diǎn)

典型的漏洞點(diǎn)是組織自己的人員。安全負(fù)責(zé)人應(yīng)該集中精力幫助自己的團(tuán)隊(duì)了解團(tuán)隊(duì)所需保衛(wèi)的網(wǎng)絡(luò)特定部分里發(fā)起威脅者的行為。然后就是要通過(guò)測(cè)試事件響應(yīng)過(guò)程而達(dá)到測(cè)試防御的目的。測(cè)試成員是否知道應(yīng)該給誰(shuí)打電話以及如何量化他們所看到的有關(guān)內(nèi)容?他們是否將釣魚(yú)郵件轉(zhuǎn)發(fā)給了正確的收件人?安全負(fù)責(zé)人在了解了團(tuán)隊(duì)如何應(yīng)對(duì)實(shí)踐場(chǎng)景中的威脅后就可以確定要在哪些方面加強(qiáng)防御。

2、權(quán)衡網(wǎng)絡(luò)安全投資的投資回報(bào)率

政府花納稅人的錢(qián)時(shí)需謹(jǐn)而慎之，企業(yè)則須確保建立與合作伙伴和客戶的信任。組織必須在考慮網(wǎng)絡(luò)安全投資時(shí)驗(yàn)證預(yù)期的投資回報(bào)率是可行的而不是假定預(yù)期的投資回報(bào)率是可行的，這一點(diǎn)尤為重要。安全負(fù)責(zé)人需要數(shù)據(jù)才能準(zhǔn)確地顯示安全漏洞位置以及要在何處做更多的投資。

3、要采取基于風(fēng)險(xiǎn)的決策而不是基于合規(guī)性的決策

傳統(tǒng)模型在權(quán)衡網(wǎng)絡(luò)安全有效性時(shí)傾向于采用基于孤立的和基于合規(guī)性的做法，因此網(wǎng)絡(luò)安全措施是在不同的企業(yè)渠道中進(jìn)行管理，而且重要的數(shù)據(jù)未被充分地利用。這也往往會(huì)導(dǎo)致“清單”心態(tài)，這可能會(huì)令公司容易受到威脅。所以要反其道而行之，網(wǎng)絡(luò)安全必須與組織的嚴(yán)峻風(fēng)險(xiǎn)和關(guān)鍵任務(wù)業(yè)務(wù)需求保持一致，要確保關(guān)鍵任務(wù)業(yè)務(wù)所用到的產(chǎn)品可以提供全面且可操作的洞察。

4、需確定哪些技術(shù)可以進(jìn)行改進(jìn)、哪些技術(shù)可以從堆棧中刪除

網(wǎng)絡(luò)安全人員需要管理許多產(chǎn)品。重要的一點(diǎn)是，需要驗(yàn)證環(huán)境里哪些產(chǎn)品可以運(yùn)作及哪些產(chǎn)品不能運(yùn)作。適合一家公司的解決方案可能不適合另一家公司。要確定哪些技術(shù)產(chǎn)品可以提供更大的價(jià)值及哪些產(chǎn)品適合當(dāng)前的架構(gòu)，如此就不會(huì)購(gòu)買(mǎi)多余的產(chǎn)品。以自動(dòng)方式映射安全控件也可以更輕松地標(biāo)出及列出可識(shí)別的威脅。

知己知彼之知己

用由外而內(nèi)的方式處理安全問(wèn)題時(shí)做的是試圖拒風(fēng)險(xiǎn)于外部。而由內(nèi)而外的方法則是利用基于風(fēng)險(xiǎn)的策略先確定最重要的應(yīng)用程序達(dá)到保護(hù)關(guān)鍵任務(wù)數(shù)據(jù)的目的，而基于風(fēng)險(xiǎn)的策略則是聚焦于最有價(jià)值和最脆弱的資產(chǎn)。采用由內(nèi)而外的方法應(yīng)對(duì)網(wǎng)絡(luò)安全不是件容易的事。不管是政府部門(mén)還是私營(yíng)部門(mén)，歸根結(jié)底都是一個(gè)企業(yè)，由內(nèi)而外的方法是最具商業(yè)意義的方法。