企業(yè)如何從被動(dòng)選擇的思維模式轉(zhuǎn)變?yōu)榉e極主動(dòng)的持續(xù)網(wǎng)絡(luò)改進(jìn)文化呢?回答這個(gè)問題對(duì)于增強(qiáng)網(wǎng)絡(luò)彈性至關(guān)重要。對(duì)于那些在各種監(jiān)管環(huán)境中摸索的企業(yè)來說，更深入地了解實(shí)時(shí)和持續(xù)的安全實(shí)踐是至關(guān)重要的。

合規(guī)性不等于安全性

人們對(duì)網(wǎng)絡(luò)安全最大的誤解之一是合規(guī)性等同于全面的安全性。

人們應(yīng)該把安全合規(guī)視為一種安全演習(xí)：就像企業(yè)擁有人員疏散計(jì)劃，但并不能防止火災(zāi)一樣。諸如美國聯(lián)邦貿(mào)易委員會(huì)“保障規(guī)則”和支付卡行業(yè)(PCI)標(biāo)準(zhǔn)等法規(guī)旨在加強(qiáng)信息安全，這些標(biāo)準(zhǔn)確實(shí)做到了，但它們是網(wǎng)絡(luò)安全團(tuán)隊(duì)?wèi)?yīng)該遵守標(biāo)準(zhǔn)法規(guī)的下限，而不是上限。

此外，日益復(fù)雜的網(wǎng)絡(luò)安全監(jiān)管環(huán)境使得依賴基于合規(guī)性的方法變得越來越不穩(wěn)定。企業(yè)可能會(huì)耗盡資源來完成年度或季度審計(jì)。一旦審計(jì)通過，自滿情緒就會(huì)出現(xiàn)，而在下一個(gè)審計(jì)周期開始之前，可能出現(xiàn)新的漏洞。這種方法引入了安全漏洞，網(wǎng)絡(luò)攻擊者很快就會(huì)利用這些漏洞。

首席信息安全官需要改變這個(gè)根深蒂固且有缺陷的流程。要超越多種選項(xiàng)的思維模式，需要培養(yǎng)一種優(yōu)先考慮持續(xù)改進(jìn)網(wǎng)絡(luò)安全防御和實(shí)踐的企業(yè)文化，而不僅僅是通過定期審計(jì)，這一轉(zhuǎn)變將構(gòu)成強(qiáng)大和適應(yīng)性安全態(tài)勢(shì)的基石。

所以關(guān)鍵的問題是：企業(yè)如何開始建立一種持續(xù)網(wǎng)絡(luò)改進(jìn)的有效文化?這一切都始于強(qiáng)調(diào)實(shí)時(shí)安全實(shí)踐。

實(shí)時(shí)的安全實(shí)踐vs.定期的安全實(shí)踐

實(shí)時(shí)的安全實(shí)踐和定期的安全實(shí)踐之間的相互作用是有效的漏洞管理的核心。由于每一種實(shí)踐都有其獨(dú)特的價(jià)值主張，一個(gè)強(qiáng)大的網(wǎng)絡(luò)防御戰(zhàn)略必須將這兩種類型的實(shí)踐融合成一個(gè)統(tǒng)一的方法。

在這個(gè)威脅瞬息萬變的世界里，實(shí)時(shí)的安全實(shí)踐是不可或缺的。例如，端點(diǎn)檢測(cè)和漏洞檢測(cè)必須是正在進(jìn)行的過程。它們?yōu)榫W(wǎng)絡(luò)提供發(fā)生變化的信息，在威脅出現(xiàn)時(shí)提醒企業(yè)。實(shí)時(shí)活動(dòng)的失誤可能會(huì)帶來災(zāi)難：最近的勒索軟件攻擊表明，存在的漏洞可以在短短幾小時(shí)內(nèi)被利用，有時(shí)甚至更短。一個(gè)有效的實(shí)時(shí)安全系統(tǒng)提供了在漏洞被利用之前檢測(cè)和糾正漏洞所需的關(guān)鍵窗口。

另一方面，定期的安全實(shí)踐(例如滲透測(cè)試)提供了對(duì)系統(tǒng)進(jìn)行壓力測(cè)試和發(fā)現(xiàn)潛在弱點(diǎn)的機(jī)會(huì)。不過，它們的價(jià)值不應(yīng)被夸大。滲透測(cè)試不是日常工具：它們更類似于性能評(píng)估。它們證明存在問題，但首先提醒注意問題的是持續(xù)的安全監(jiān)控。

一些首席信息安全官嚴(yán)重依賴滲透測(cè)試，誤以為它是解決網(wǎng)絡(luò)安全問題的靈丹妙藥。雖然滲透測(cè)試很有價(jià)值，但它們的設(shè)計(jì)目的并不是提供企業(yè)每天面臨的威脅的實(shí)時(shí)數(shù)據(jù)。

保持平衡是關(guān)鍵。首席信息安全官必須管理實(shí)時(shí)活動(dòng)，例如監(jiān)控網(wǎng)絡(luò)流量、威脅搜索和漏洞檢測(cè)，以及例如滲透測(cè)試、風(fēng)險(xiǎn)評(píng)估和審計(jì)等定期活動(dòng)。這種方法確保了全面的覆蓋，利用每個(gè)實(shí)踐的優(yōu)勢(shì)來創(chuàng)建一個(gè)環(huán)環(huán)相扣的、有彈性的網(wǎng)絡(luò)威脅防御策略。企業(yè)的目標(biāo)是創(chuàng)建一個(gè)安全系統(tǒng)，它不僅能夠在審計(jì)中幸存下來，而且能夠在面對(duì)現(xiàn)實(shí)世界的威脅時(shí)表現(xiàn)出色。

實(shí)時(shí)漏洞管理的緊迫性

為了建立網(wǎng)絡(luò)安全改進(jìn)文化，企業(yè)必須建立有效的漏洞管理策略，該策略依賴于不斷評(píng)估潛在威脅的暴露情況，并采取主動(dòng)措施減輕威脅。這一過程需要數(shù)據(jù)收集、威脅情報(bào)、風(fēng)險(xiǎn)評(píng)估和快速反應(yīng)的復(fù)雜結(jié)合。

健壯的實(shí)時(shí)漏洞管理策略以一致的監(jiān)控為基礎(chǔ)。這涉及到利用安全信息和事件管理系統(tǒng)以及端點(diǎn)檢測(cè)和響應(yīng)平臺(tái)來收集和分析整個(gè)網(wǎng)絡(luò)的安全數(shù)據(jù)。這些工具旨在識(shí)別可能指示潛在安全事件的異常模式或行為。它們?yōu)轫憫?yīng)網(wǎng)絡(luò)威脅的方法提供了基礎(chǔ)，使企業(yè)能夠在檢測(cè)到威脅時(shí)快速響應(yīng)。

與這些系統(tǒng)相輔相成的是威脅情報(bào)饋送，它提供有關(guān)最新已知威脅和漏洞利用的數(shù)據(jù)。將威脅情報(bào)與安全信息和事件管理系統(tǒng)以及端點(diǎn)檢測(cè)和響應(yīng)工具集成可以增強(qiáng)其有效性，從而更快、更準(zhǔn)確地檢測(cè)到威脅。

一旦檢測(cè)到威脅，企業(yè)需要進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確定其響應(yīng)的優(yōu)先級(jí)。并非所有漏洞都具有相同級(jí)別的風(fēng)險(xiǎn)，應(yīng)該根據(jù)潛在影響分配資源。像通用漏洞評(píng)分系統(tǒng)這樣的工具為評(píng)估漏洞的嚴(yán)重性提供了一種標(biāo)準(zhǔn)化的方法。這使得企業(yè)可以首先集中精力解決高風(fēng)險(xiǎn)漏洞，降低整體網(wǎng)絡(luò)風(fēng)險(xiǎn)。

除了通用漏洞評(píng)分系統(tǒng)之外，企業(yè)必須確保他們有快速響應(yīng)和修復(fù)檢測(cè)到的漏洞的過程。這可能涉及補(bǔ)丁管理系統(tǒng)以快速部署更新或事件響應(yīng)團(tuán)隊(duì)以管理更復(fù)雜的威脅。

實(shí)現(xiàn)持續(xù)改進(jìn)網(wǎng)絡(luò)的企業(yè)文化需要對(duì)這些先進(jìn)的技術(shù)能力進(jìn)行投資。它需要超越傳統(tǒng)的、以合規(guī)性為中心的思維模式，并培養(yǎng)一種主動(dòng)的方法，將實(shí)時(shí)威脅檢測(cè)和響應(yīng)置于企業(yè)網(wǎng)絡(luò)戰(zhàn)略的中心。