近年來(lái)，針對(duì)最新網(wǎng)絡(luò)威脅或攻擊活動(dòng)，政府與行業(yè)網(wǎng)絡(luò)安全人員都會(huì)做出被動(dòng)性響應(yīng)，這導(dǎo)致降低網(wǎng)絡(luò)威脅變得很困難，因?yàn)閺囊婚_(kāi)始，網(wǎng)絡(luò)防御就落后攻擊者一步。

一系列針對(duì)重要目標(biāo)（包括SolarWinds、克洛尼爾輸油管道, OPM, Anthem）等網(wǎng)絡(luò)攻擊向防御者敲響了警鐘，暴露出當(dāng)前防護(hù)模式的缺陷和被動(dòng)性。被動(dòng)防御思維在逐漸發(fā)生變化。

我們對(duì)網(wǎng)絡(luò)設(shè)備、企業(yè)和應(yīng)用互聯(lián)的依賴不斷增長(zhǎng)，惡意軟件和黑客的網(wǎng)絡(luò)入侵也在不斷增加。包括各種犯罪組織、黑客和敵對(duì)民族國(guó)家的網(wǎng)絡(luò)攻擊者不斷增加。

Cybersecurity Ventures公司預(yù)計(jì)，未來(lái)五年，全球網(wǎng)絡(luò)犯罪成本將以每年15%的速度增長(zhǎng)，到2025年將達(dá)到每年10.5萬(wàn)億美元。此外，隨著向遠(yuǎn)程工作模式遷移，以及對(duì)創(chuàng)新技術(shù)和服務(wù)的采購(gòu)需求增加，網(wǎng)絡(luò)風(fēng)險(xiǎn)環(huán)境也發(fā)生了變化，催生對(duì)網(wǎng)絡(luò)安全新范式的需求。

IT對(duì)業(yè)務(wù)的重要性不斷增強(qiáng)，以及網(wǎng)絡(luò)攻擊活動(dòng)的急劇增加，人們?cè)絹?lái)越認(rèn)識(shí)到，對(duì)攻擊活動(dòng)的防范工作不僅是必要的業(yè)務(wù)成本，也是確保業(yè)務(wù)連續(xù)性和維護(hù)企業(yè)聲譽(yù)的必要手段。業(yè)界和政府已經(jīng)越來(lái)越多地認(rèn)可和采用主動(dòng)網(wǎng)絡(luò)安全防御手段。

主動(dòng)安全=風(fēng)險(xiǎn)管理

在不斷發(fā)展的數(shù)字生態(tài)系統(tǒng)中，實(shí)施主動(dòng)安全策略，不僅是指采購(gòu)技術(shù)和雇傭人才，還意味著采用新的網(wǎng)絡(luò)安全框架，其中包含戰(zhàn)術(shù)手段、加密、驗(yàn)證、生物特征、分析以及持續(xù)測(cè)試、診斷和緩解等一系列安全措施。簡(jiǎn)而言之，主動(dòng)網(wǎng)絡(luò)安全能幫助實(shí)現(xiàn)業(yè)務(wù)的連續(xù)性。

從核心意義上講，成功的網(wǎng)絡(luò)威脅應(yīng)對(duì)戰(zhàn)略可以緩解風(fēng)險(xiǎn)、響應(yīng)突發(fā)事件，以保持業(yè)務(wù)連續(xù)性。感知不斷變化的網(wǎng)絡(luò)威脅形勢(shì)，為所有潛在情景制定應(yīng)急計(jì)劃，是非常關(guān)鍵的措施。風(fēng)險(xiǎn)管理戰(zhàn)略要求加強(qiáng)態(tài)勢(shì)感知、信息共享，尤其是網(wǎng)絡(luò)彈性規(guī)劃。

網(wǎng)絡(luò)漏洞風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)主動(dòng)網(wǎng)絡(luò)安全的基礎(chǔ)，是網(wǎng)絡(luò)安全最佳實(shí)踐的關(guān)鍵第一步。它可以快速識(shí)別網(wǎng)絡(luò)漏洞并確定漏洞優(yōu)先級(jí)，以便可以立即部署解決方案，保護(hù)關(guān)鍵資產(chǎn)免受惡意網(wǎng)絡(luò)行為者的攻擊，同時(shí)可以立即提高整體運(yùn)營(yíng)安全。

全面的風(fēng)險(xiǎn)管理方法應(yīng)包括網(wǎng)絡(luò)安全最佳實(shí)踐、教育/培訓(xùn)、使用政策和許可、配置網(wǎng)絡(luò)訪問(wèn)、代碼測(cè)試、安全控制、應(yīng)用程序、設(shè)備管理、應(yīng)用控制和定期網(wǎng)絡(luò)審計(jì)。

目前，可以通過(guò)三種策略來(lái)加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，這包括設(shè)計(jì)即安全(SecureBydesign)、縱深防御和零信任。設(shè)計(jì)即安全(Secure By design)維護(hù)安全流程；通過(guò)縱深防御部署多層冗余保護(hù)措施以防止數(shù)據(jù)泄露；零信任則通過(guò)身份驗(yàn)證和適當(dāng)?shù)氖跈?quán)來(lái)實(shí)現(xiàn)嚴(yán)格的身份和訪問(wèn)管理，重點(diǎn)保護(hù)企業(yè)資源（包括資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)帳戶等）。

具體的主動(dòng)安全方法因環(huán)境而異，但連接網(wǎng)絡(luò)安全各個(gè)要素的網(wǎng)格是態(tài)勢(shì)感知與緊急情況下關(guān)鍵通信的系統(tǒng)能力的結(jié)合。該指導(dǎo)原則在美國(guó)政府國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）為工業(yè)和政府部門制定的指南得到體現(xiàn)，即：“識(shí)別、保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)”。

第一步：代碼和應(yīng)用測(cè)試

測(cè)試軟件代碼是信息技術(shù)產(chǎn)品驗(yàn)證的關(guān)鍵功能。如果不遵循測(cè)試流程，產(chǎn)品最終可能存在缺陷，使機(jī)構(gòu)面臨風(fēng)險(xiǎn)。檢測(cè)和修復(fù)軟件開(kāi)發(fā)中的缺陷是確保產(chǎn)品最終質(zhì)量的有效方法。

評(píng)估需要從應(yīng)用安全測(cè)試開(kāi)始，以識(shí)別代碼或軟件錯(cuò)誤配置中可被利用的漏洞，或發(fā)現(xiàn)應(yīng)用中已存在的惡意軟件。代碼是應(yīng)用和網(wǎng)絡(luò)的基礎(chǔ)，防范和預(yù)防網(wǎng)絡(luò)攻擊要從發(fā)現(xiàn)代碼的已知和未知漏洞開(kāi)始。

新發(fā)布的代碼，特別是第三方軟件，在網(wǎng)絡(luò)安裝之前，需要徹底進(jìn)行識(shí)別、評(píng)估和驗(yàn)證。行業(yè)主管機(jī)構(gòu)網(wǎng)站（如CERT）和安全公司發(fā)布的預(yù)警對(duì)于網(wǎng)絡(luò)安全團(tuán)隊(duì)監(jiān)控新的已知漏洞非常重要。

新發(fā)布的代碼存在威脅，許多應(yīng)用和程序可能已在有缺陷和違規(guī)接入點(diǎn)的系統(tǒng)上運(yùn)行了，也是威脅的來(lái)源。作為漏洞評(píng)估的一部分，需要檢查遺留代碼的補(bǔ)丁和任何新發(fā)布的代碼。每個(gè)應(yīng)用都從軟件編碼開(kāi)始，用相關(guān)檢測(cè)標(biāo)準(zhǔn)來(lái)優(yōu)化和發(fā)現(xiàn)漏洞。這些工作可以通過(guò)可視化掃描和滲透測(cè)試來(lái)完成，包括驗(yàn)證/確認(rèn)存在漏洞的源代碼。測(cè)試和驗(yàn)證測(cè)試的目的是在問(wèn)題被帶入產(chǎn)品并污染網(wǎng)絡(luò)和設(shè)備之前，能夠及時(shí)發(fā)現(xiàn)它們的存在。

已知的問(wèn)題往往明確的。軟件測(cè)試、評(píng)估和驗(yàn)證的一大挑戰(zhàn)是要能預(yù)測(cè)網(wǎng)絡(luò)安全中的未知威脅。這些未知威脅可能包括檢測(cè)無(wú)法被沙箱、基于簽名和其他行為識(shí)別的隱藏惡意軟件。

對(duì)大多數(shù)公司來(lái)說(shuō)，軟件測(cè)試能夠確保產(chǎn)品質(zhì)量。在問(wèn)題進(jìn)入市場(chǎng)之前提前得到解決。測(cè)試能夠檢查產(chǎn)品的一致性、用戶界面和功能，并轉(zhuǎn)化為客戶滿意度。如果計(jì)劃發(fā)布應(yīng)用，有必要檢查該品在各種操作系統(tǒng)和設(shè)備中的兼容性和性能。

測(cè)試與預(yù)算相關(guān)，因?yàn)樗哂谐杀拘б妗Ｔ谲浖_(kāi)發(fā)過(guò)程中可同步規(guī)劃軟件測(cè)試，可以實(shí)現(xiàn)在軟件開(kāi)發(fā)生命周期的初始階段，捕獲并修復(fù)軟件缺陷和錯(cuò)誤配置，從而節(jié)省軟件開(kāi)發(fā)成本。

軟件測(cè)試還要考慮的一個(gè)重要因素就是安全性。如果開(kāi)發(fā)中的產(chǎn)品中內(nèi)置安全功能，則能夠提高用戶的信任度。在網(wǎng)絡(luò)威脅行為日益復(fù)雜的情況下，產(chǎn)品安全是行業(yè)和政府軟件的一項(xiàng)基本要求。

持續(xù)仿真驗(yàn)證測(cè)試的需求

在現(xiàn)實(shí)中，網(wǎng)絡(luò)入侵并不是一種靜態(tài)威脅，黑客總是在戰(zhàn)術(shù)和能力上不斷演變。網(wǎng)絡(luò)犯罪份子現(xiàn)在使用更強(qiáng)的規(guī)避技術(shù)，如果惡意軟件檢測(cè)到是在沙箱運(yùn)行或檢測(cè)到其它惡意軟件檢測(cè)能力，惡意軟件甚至可以停止運(yùn)行。

漏洞利用組件注入目標(biāo)系統(tǒng)后，軟件就會(huì)運(yùn)行代碼注入或篡改目標(biāo)系統(tǒng)的內(nèi)存空間。通常，犯罪分子使用地下或暗網(wǎng)出售的被盜證書(shū)繞過(guò)反惡意軟件大檢測(cè)和機(jī)器學(xué)習(xí)代碼。行業(yè)和政府必須采取更多措施應(yīng)對(duì)和遏制網(wǎng)絡(luò)威脅的挑戰(zhàn)。

由于黑客利用復(fù)雜且不斷增長(zhǎng)的攻擊面，測(cè)試需要超越傳統(tǒng)的漏洞掃描和手動(dòng)滲透測(cè)試。它還需要實(shí)現(xiàn)自動(dòng)化，以跟上不斷進(jìn)化的網(wǎng)絡(luò)環(huán)境，預(yù)測(cè)黑客可能的攻擊行為，并配備有效的防范手段。這些可通過(guò)持續(xù)的模擬驗(yàn)證測(cè)試來(lái)實(shí)現(xiàn)。

通過(guò)模擬驗(yàn)證，可即時(shí)查看防御結(jié)果，還可頻繁執(zhí)行測(cè)試，不依賴于測(cè)試人員的技能水平，而這可能是導(dǎo)致漏洞大脆弱點(diǎn)。

鑒于每天都會(huì)在網(wǎng)絡(luò)中出現(xiàn)新的攻擊載荷和形式，持續(xù)模擬驗(yàn)證測(cè)試，再結(jié)合滲透測(cè)試，是很好的應(yīng)對(duì)途徑。目前有幾家供應(yīng)商提出了不同的持續(xù)安全驗(yàn)證解決方案。供應(yīng)商Cymulate表示，2021對(duì)企業(yè)最大的威脅包括LockBit, Conti 和Dharma 勒索軟件HAFNIUM, TeamTNT，以及濫用Log4j 的APT29。Cymulate的模擬驗(yàn)證方法采用即時(shí)威脅智能模塊，通過(guò)在事先創(chuàng)建的測(cè)試場(chǎng)景中模擬潛在新型威脅，以評(píng)估和優(yōu)化企業(yè)電子郵件網(wǎng)關(guān)、Web網(wǎng)關(guān)和端點(diǎn)安全控制。

模擬攻擊非常有效，因?yàn)樗{(lán)隊(duì)可以通過(guò)該方法，集成現(xiàn)有安全應(yīng)用和系統(tǒng)（包括漏洞管理、EDR、SIEM、SOAR和GRC系統(tǒng)），來(lái)評(píng)估和調(diào)優(yōu)自身的檢測(cè)、告警和響應(yīng)能力。

網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性

遭受攻擊后，必須持續(xù)不斷提升網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性，以優(yōu)化和完善響應(yīng)協(xié)議、培訓(xùn)安全人員以及部署自動(dòng)檢測(cè)和備份等技術(shù)。

提升網(wǎng)絡(luò)彈性、保持業(yè)務(wù)連續(xù)性、增加技術(shù)創(chuàng)新，加強(qiáng)政府和行業(yè)負(fù)責(zé)人之間的合作，這是經(jīng)驗(yàn)證、行之有效的模式。政府和私營(yíng)機(jī)構(gòu)可以合作發(fā)現(xiàn)有效的安全產(chǎn)品，協(xié)調(diào)靈活的產(chǎn)品發(fā)展路線，評(píng)估技術(shù)差距，幫助設(shè)計(jì)、評(píng)估和模擬可擴(kuò)展架構(gòu)，以提高企業(yè)效率，優(yōu)化問(wèn)責(zé)制度。

信息共享也是保證網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性的關(guān)鍵一環(huán)，因?yàn)樗兄谛袠I(yè)和政府了解最新的病毒、惡意軟件、網(wǎng)絡(luò)釣魚(yú)威脅、勒索軟件、內(nèi)部威脅，尤其是拒絕服務(wù)攻擊。信息共享也可以建立有效的經(jīng)驗(yàn)總結(jié)和網(wǎng)絡(luò)彈性工作機(jī)制，這對(duì)于商業(yè)成功和打擊網(wǎng)絡(luò)犯罪至關(guān)重要。過(guò)去幾年，美國(guó)國(guó)土安全部關(guān)鍵設(shè)施網(wǎng)絡(luò)安全局（DHS CISA）擴(kuò)大了信息共享計(jì)劃，特別是與參與關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)的企業(yè)加強(qiáng)信息共享。

主動(dòng)安全要求必須加強(qiáng)與董事會(huì)、管理團(tuán)隊(duì)的有效溝通。CISO、CTO、CIO和管理層必須協(xié)調(diào)戰(zhàn)略、加強(qiáng)合作，并定期評(píng)估信息安全計(jì)劃、安全控制和網(wǎng)絡(luò)安全。如果入侵影響到公司的運(yùn)營(yíng)，則通常需要聲譽(yù)管理。

安全補(bǔ)救措施對(duì)業(yè)務(wù)連續(xù)性很重要。不管怎樣，入侵事件總會(huì)發(fā)生。為了實(shí)現(xiàn)網(wǎng)絡(luò)彈性的有效性，行業(yè)和政府應(yīng)制定安全響應(yīng)計(jì)劃，包括事件減緩、業(yè)務(wù)連續(xù)性規(guī)劃以及安全備份協(xié)議，以有效應(yīng)對(duì)網(wǎng)絡(luò)和設(shè)備被入侵。技術(shù)培訓(xùn)和桌面演練可以改進(jìn)真實(shí)網(wǎng)絡(luò)攻擊事件發(fā)生時(shí)的安全響應(yīng)計(jì)劃實(shí)施。

吸納過(guò)去數(shù)年的最佳實(shí)踐及從安全事件中吸取的教訓(xùn)，對(duì)構(gòu)建防御計(jì)劃中的攻擊預(yù)防、恢復(fù)和連續(xù)性要素提供了寶貴數(shù)據(jù)。不幸的是，許多企業(yè)在準(zhǔn)備和分析安全事件時(shí)仍然疏忽大意。Wakefield Research最近的一項(xiàng)研究發(fā)現(xiàn)，三分之一的中型組織缺乏安全響應(yīng)計(jì)劃。

新興技術(shù)挑戰(zhàn)

新興技術(shù)既是網(wǎng)絡(luò)防御者的工具，也是威脅攻擊者的工具。當(dāng)前的網(wǎng)絡(luò)威脅面包括人工智能、機(jī)器智能、物聯(lián)網(wǎng)、5G、虛擬和增強(qiáng)現(xiàn)實(shí)以及量子計(jì)算。

自動(dòng)化技術(shù)結(jié)合人工和機(jī)器智能，是新興的未來(lái)網(wǎng)絡(luò)安全方法。人工智能（AI）將成為網(wǎng)絡(luò)安全的一大催化劑，推動(dòng)實(shí)現(xiàn)實(shí)時(shí)威脅檢測(cè)和分析。公司通過(guò)該技術(shù)能夠監(jiān)控到其系統(tǒng)中有什么，以及異常的行為。

人工智能可被犯罪黑客惡意使用，用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并自動(dòng)實(shí)施網(wǎng)絡(luò)釣魚(yú)攻擊。如果企業(yè)不使用自動(dòng)化安全防護(hù)，或者不理解此類技術(shù)被濫用的影響，將嚴(yán)重?fù)p害網(wǎng)絡(luò)彈性和連續(xù)性。在不久的將來(lái)，人工智能和其他新興技術(shù)都將對(duì)安全和運(yùn)營(yíng)模式產(chǎn)生顛覆性影響。應(yīng)對(duì)新的和更復(fù)雜威脅將是未來(lái)十年網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性的基礎(chǔ)。

在當(dāng)今復(fù)雜的威脅環(huán)境中，企業(yè)要生存和發(fā)展，網(wǎng)絡(luò)安全就不能再被事后考慮。對(duì)于任何身處數(shù)字領(lǐng)域的人士來(lái)說(shuō)，都應(yīng)該采取主動(dòng)安全而不是被動(dòng)防御。在網(wǎng)絡(luò)風(fēng)險(xiǎn)管理中，有多種既定路徑可遵循，以彌補(bǔ)不足、加強(qiáng)防御。