網(wǎng)絡(luò)安全是一場跌宕起伏，永無止境的拉鋸戰(zhàn)。攻擊者的技術(shù)和手法不斷花樣翻新，主打一個(gè)“避實(shí)就虛”和“出奇制勝”;防御者的策略則強(qiáng)調(diào)“求之于勢，不責(zé)于人”，依靠整體安全態(tài)勢和風(fēng)險(xiǎn)策略的成熟度和韌性來化解風(fēng)險(xiǎn)。

此外，經(jīng)常被忽視的一點(diǎn)是，基礎(chǔ)安全策略和實(shí)踐同樣重要。根據(jù)微軟2023年數(shù)字防御風(fēng)險(xiǎn)報(bào)告，良好的基礎(chǔ)安全實(shí)踐可以防御99%的網(wǎng)絡(luò)攻擊。例如，漏洞管理、安全意識培訓(xùn)以及定期的安全評估工作。

本文我們將重點(diǎn)介紹安全評估工作的重要性及常見的七大企業(yè)安全態(tài)勢漏洞。

定期評估安全態(tài)勢的重要性

企業(yè)建設(shè)彈性安全態(tài)勢始于發(fā)現(xiàn)和識別現(xiàn)有漏洞。然而，大多數(shù)企業(yè)的漏洞可見性都很差。當(dāng)被問及所在企業(yè)的漏洞可視性時(shí)，只有不到一半的網(wǎng)絡(luò)安全專業(yè)人員表示擁有高(35%)或完全(11%)的可視性。超過半數(shù)(51%)的企業(yè)對自身的漏洞只有中等的可見性。

定期的安全評估是企業(yè)了解自身安全態(tài)勢和風(fēng)險(xiǎn)的主要方式之一。這些評估會全面審查企業(yè)的網(wǎng)絡(luò)安全實(shí)踐和基礎(chǔ)設(shè)施，評估的范圍和頻率取決于企業(yè)的需求和風(fēng)險(xiǎn)管理計(jì)劃的成熟度。

安全成熟度和與安全評估頻率的關(guān)系

• 未成熟或無風(fēng)險(xiǎn)策略：不定期進(jìn)行評估，或僅按臨時(shí)計(jì)劃進(jìn)行評估。
• 初始或臨時(shí)風(fēng)險(xiǎn)策略：通常每季度或每月進(jìn)行一次評估。
• 成熟或既定策略：通常每月進(jìn)行一次評估。
• 高級策略：定期評估會納入整體風(fēng)險(xiǎn)管理計(jì)劃，每月或每周進(jìn)行一次。

不同安全成熟度的安全評估頻率

常見安全框架的測試頻率

• NISTCSF：美國國家標(biāo)準(zhǔn)和技術(shù)研究院(NIST)的指南根據(jù)治理框架的具體指南，從每季度到每月掃描不等。
• PCIDSS：支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCIDSS)要求每季度進(jìn)行掃描。
• HIPAA：健康保險(xiǎn)可攜性責(zé)任法案(HIPAA)沒有要求具體掃描間隔，但強(qiáng)調(diào)制定明確的評估策略的重要性。

定期安全評估任務(wù)類型

• 漏洞掃描
• 滲透測試
• 突發(fā)事件和勒索軟件模擬
• 安全聲譽(yù)掃描
• 業(yè)務(wù)影響分析
• 安全態(tài)勢評估

定期的安全評估就像企業(yè)網(wǎng)絡(luò)的“體檢”工作，能夠早期發(fā)現(xiàn)和識別潛在的安全威脅和漏洞。

安全態(tài)勢六大常見漏洞

以下是定期安全態(tài)勢評估發(fā)現(xiàn)的企業(yè)安全態(tài)勢七大常見漏洞：

一、缺乏精準(zhǔn)漏洞管理能力

在解決了漏洞的可見性問題后，接下來的難題是如何根據(jù)漏洞的嚴(yán)重性和潛在影響劃分優(yōu)先級，并有效緩解已知漏洞。

企業(yè)必須認(rèn)識到，漏洞管理是安全運(yùn)營的“基本功”和關(guān)鍵任務(wù)，企業(yè)能夠處理的漏洞數(shù)量遠(yuǎn)遠(yuǎn)趕不上漏洞增長的速度。因此，企業(yè)如果沒有精準(zhǔn)高效的漏洞管理能力，安全債和風(fēng)險(xiǎn)就會像滾雪球般越來越大。

二、檢測和監(jiān)控不足

檢測系統(tǒng)不足會導(dǎo)致企業(yè)對正在進(jìn)行的威脅視而不見，從而使攻擊者能夠長時(shí)間操作而不被發(fā)現(xiàn)。如果沒有必要的檢測系統(tǒng)，例如先進(jìn)的入侵檢測系統(tǒng)(IDS)或安全信息和事件管理(SIEM)解決方案，企業(yè)將面臨錯過威脅檢測、攻擊者駐留時(shí)間增加以及數(shù)據(jù)泄露風(fēng)險(xiǎn)增高的風(fēng)險(xiǎn)。因此，企業(yè)非常有必要購買先進(jìn)的監(jiān)控工具，部署先進(jìn)的威脅檢測和響應(yīng)技術(shù)，利用行為分析進(jìn)行異常檢測，并進(jìn)行威脅狩獵演習(xí)，這些都是增強(qiáng)檢測能力的關(guān)鍵措施。

強(qiáng)大的檢測和監(jiān)控能力不僅能加快威脅檢測和響應(yīng)速度，而且有助于企業(yè)不斷更新和改進(jìn)檢測方法，以領(lǐng)先于網(wǎng)絡(luò)犯罪分子日新月異的攻擊媒介和技術(shù)。

三、缺乏全面的安全政策和流程

企業(yè)需要正式、全面的網(wǎng)絡(luò)安全政策和程序來有效管理安全風(fēng)險(xiǎn)，否則會產(chǎn)生許多后果，包括跨部門安全實(shí)踐不一致、事件響應(yīng)能力減弱、難以確保合規(guī)以及面臨更大的法律、監(jiān)管、財(cái)務(wù)和聲譽(yù)后果。制定和實(shí)施全面的安全政策涉及明確制定和記錄這些政策，確保有效傳達(dá)給所有員工并教育他們遵守安全政策的重要性。

面對不斷變化的網(wǎng)絡(luò)威脅形勢，企業(yè)還需要定期審查、更新和調(diào)整安全政策，確保網(wǎng)絡(luò)安全措施的有效性。此外，擁有一套明確定義的流程有助于標(biāo)準(zhǔn)化安全事件響應(yīng)，這有助于在發(fā)生網(wǎng)絡(luò)攻擊事件時(shí)減小損失并縮短恢復(fù)時(shí)間。

四、缺乏滲透測試和安全演練

定期測試安全系統(tǒng)和事件響應(yīng)計(jì)劃對于識別防御弱點(diǎn)至關(guān)重要。這包括定期進(jìn)行滲透測試以發(fā)現(xiàn)漏洞、創(chuàng)建、演練和不斷改進(jìn)事件響應(yīng)計(jì)劃，以及與第三方安全評估公司合作。定期安全測試的重要性不容忽視，因?yàn)樗粌H有助于在攻擊者之前識別漏洞，還可以評估現(xiàn)有安全控制的有效性。

五、網(wǎng)絡(luò)安全意識培訓(xùn)不足

缺乏安全意識培訓(xùn)的員工更容易成為黑客的獵物，成為擊垮整個(gè)企業(yè)網(wǎng)絡(luò)安全防御體系的“人肉漏洞”。此外，缺乏安全意識培訓(xùn)還會導(dǎo)致更多配置錯誤和人為錯誤，從而降低安全控制的有效性。企業(yè)需要提供持續(xù)的，高頻的網(wǎng)絡(luò)安全培訓(xùn)、鼓勵員工專業(yè)化發(fā)展并考取安全認(rèn)證，并高度重視安全意識文化建設(shè)。

安全意識培訓(xùn)有助于確保所有級別的員工都具備識別和有效應(yīng)對安全威脅的能力。通過讓員工對威脅保持了解并提高警惕，企業(yè)可顯著降低人為錯誤導(dǎo)致的違規(guī)風(fēng)險(xiǎn)。最后，積極主動的員工安全意識培訓(xùn)也是企業(yè)實(shí)施全面網(wǎng)絡(luò)安全策略的重要組成部分。

六、未采用和實(shí)施安全框架

選擇并遵循網(wǎng)絡(luò)安全框架對于建立結(jié)構(gòu)化安全方法的企業(yè)至關(guān)重要?？蚣艿膬r(jià)值在于能夠提供清晰的安全路線圖、確保企業(yè)與行業(yè)最佳實(shí)踐保持一致，并促進(jìn)合規(guī)。企業(yè)可根據(jù)自身的特定需求和風(fēng)險(xiǎn)容忍度選擇合適的框架(例如NIST網(wǎng)絡(luò)安全框架)，并根據(jù)行業(yè)和監(jiān)管需求定制框架以符合企業(yè)的獨(dú)特要求。

安全框架為企業(yè)提供了一種結(jié)構(gòu)化方法來管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，可幫助企業(yè)部署強(qiáng)大的安全措施和協(xié)議，提高企業(yè)的整體安全態(tài)勢。

七、不了解企業(yè)風(fēng)險(xiǎn)偏好

安全主管需要充分了解企業(yè)的風(fēng)險(xiǎn)偏，好并將其納入網(wǎng)絡(luò)安全策略，這一點(diǎn)至關(guān)重要。企業(yè)愿意接受的風(fēng)險(xiǎn)水平各不相同，這種差異會影響決策和資源分配，使企業(yè)網(wǎng)絡(luò)安全措施與企業(yè)的風(fēng)險(xiǎn)偏好和容忍度保持一致。

安全策略并非一成不變，而是受風(fēng)險(xiǎn)信息影響，企業(yè)需要監(jiān)控不斷變化的風(fēng)險(xiǎn)并相應(yīng)調(diào)整安全策略。這種方法可以提高網(wǎng)絡(luò)安全措施的主動性，重點(diǎn)是預(yù)測潛在威脅并在攻擊發(fā)生之前進(jìn)行遏制。

結(jié)語

為了緩解上述安全態(tài)勢漏洞，建議企業(yè)實(shí)施行業(yè)公認(rèn)的安全框架，例如NISTCSF、CIS或SANS等。這些框架能幫助企業(yè)建立強(qiáng)大的網(wǎng)絡(luò)安全防御力;有針對性地制定和實(shí)施有效的安全政策，并確保員工定期進(jìn)行安全意識培訓(xùn)?？傊瑹o論是漏洞管理還是安全培訓(xùn)，持續(xù)監(jiān)控和改進(jìn)至關(guān)重要，可及時(shí)識別和糾正安全差距。