網(wǎng)絡(luò)安全是一場(chǎng)跌宕起伏����,永無(wú)止境的拉鋸戰(zhàn)���。攻擊者的技術(shù)和手法不斷花樣翻新�,主打一個(gè) “避實(shí)就虛” 和 “出奇制勝”��;防御者的策略則強(qiáng)調(diào) “求之于勢(shì)����,不責(zé)于人”,依靠整體安全態(tài)勢(shì)和風(fēng)險(xiǎn)策略的成熟度和韌性來(lái)化解風(fēng)險(xiǎn)���。
此外��,經(jīng)常被忽視的一點(diǎn)是�����,基礎(chǔ)安全策略和實(shí)踐同樣重要����。根據(jù)微軟 2023 年數(shù)字防御風(fēng)險(xiǎn)報(bào)告,良好的基礎(chǔ)安全實(shí)踐可以防御 99% 的網(wǎng)絡(luò)攻擊��。例如�,漏洞管理、安全意識(shí)培訓(xùn)以及定期的安全評(píng)估工作��。
本文我們將重點(diǎn)介紹安全評(píng)估工作的重要性及常見(jiàn)的七大企業(yè)安全態(tài)勢(shì)漏洞��。
定期評(píng)估安全態(tài)勢(shì)的重要性
企業(yè)建設(shè)彈性安全態(tài)勢(shì)始于發(fā)現(xiàn)和識(shí)別現(xiàn)有漏洞���。然而�����,大多數(shù)企業(yè)的漏洞可見(jiàn)性都很差�。當(dāng)被問(wèn)及所在企業(yè)的漏洞可視性時(shí)����,只有不到一半的網(wǎng)絡(luò)安全專業(yè)人員表示擁有高(35%)或完全(11%)的可視性。超過(guò)半數(shù)(51%)的企業(yè)對(duì)自身的漏洞只有中等的可見(jiàn)性。
定期的安全評(píng)估是企業(yè)了解自身安全態(tài)勢(shì)和風(fēng)險(xiǎn)的主要方式之一�����。這些評(píng)估會(huì)全面審查企業(yè)的網(wǎng)絡(luò)安全實(shí)踐和基礎(chǔ)設(shè)施�,評(píng)估的范圍和頻率取決于企業(yè)的需求和風(fēng)險(xiǎn)管理計(jì)劃的成熟度�����。
安全成熟度和與安全評(píng)估頻率的關(guān)系
●未成熟或無(wú)風(fēng)險(xiǎn)策略:不定期進(jìn)行評(píng)估��,或僅按臨時(shí)計(jì)劃進(jìn)行評(píng)估���。
●初始或臨時(shí)風(fēng)險(xiǎn)策略:通常每季度或每月進(jìn)行一次評(píng)估�����。
●成熟或既定策略:通常每月進(jìn)行一次評(píng)估�。
●高級(jí)策略:定期評(píng)估會(huì)納入整體風(fēng)險(xiǎn)管理計(jì)劃�����,每月或每周進(jìn)行一次�����。
不同安全成熟度的安全評(píng)估頻率來(lái)源:Armorpoint
常見(jiàn)安全框架的測(cè)試頻率
NISTCSF:美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院 (NIST) 的指南根據(jù)治理框架的具體指南,從每季度到每月掃描不等���。
PCIDSS:支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCIDSS) 要求每季度進(jìn)行掃描�����。
HIPAA:健康保險(xiǎn)可攜性責(zé)任法案 (HIPAA) 沒(méi)有要求具體掃描間隔�����,但強(qiáng)調(diào)制定明確的評(píng)估策略的重要性�。
定期安全評(píng)估任務(wù)類型
●漏洞掃描
●滲透測(cè)試
●突發(fā)事件和勒索軟件模擬
●安全聲譽(yù)掃描
●業(yè)務(wù)影響分析
●安全態(tài)勢(shì)評(píng)估
定期的安全評(píng)估就像企業(yè)網(wǎng)絡(luò)的 “體檢” 工作�����,能夠早期發(fā)現(xiàn)和識(shí)別潛在的安全威脅和漏洞�����。
安全態(tài)勢(shì)七大常見(jiàn)漏洞
以下是定期安全態(tài)勢(shì)評(píng)估發(fā)現(xiàn)的企業(yè)安全態(tài)勢(shì)七大常見(jiàn)漏洞:
一��、缺乏精準(zhǔn)漏洞管理能力
企業(yè)必須認(rèn)識(shí)到�,漏洞管理是安全運(yùn)營(yíng)的 “基本功” 和關(guān)鍵任務(wù),企業(yè)能夠處理的漏洞數(shù)量遠(yuǎn)遠(yuǎn)趕不上漏洞增長(zhǎng)的速度。因此�,企業(yè)如果沒(méi)有精準(zhǔn)高效的漏洞管理能力,安全債和風(fēng)險(xiǎn)就會(huì)像滾雪球般越來(lái)越大����。
二、檢測(cè)和監(jiān)控不足
檢測(cè)系統(tǒng)不足會(huì)導(dǎo)致企業(yè)對(duì)正在進(jìn)行的威脅視而不見(jiàn)��,從而使攻擊者能夠長(zhǎng)時(shí)間操作而不被發(fā)現(xiàn)����。如果沒(méi)有必要的檢測(cè)系統(tǒng)���,例如先進(jìn)的入侵檢測(cè)系統(tǒng) (IDS) 或安全信息和事件管理 (SIEM) 解決方案����,企業(yè)將面臨錯(cuò)過(guò)威脅檢測(cè)�、攻擊者駐留時(shí)間增加以及數(shù)據(jù)泄露風(fēng)險(xiǎn)增高的風(fēng)險(xiǎn)。因此��,企業(yè)非常有必要購(gòu)買先進(jìn)的監(jiān)控工具����,部署先進(jìn)的威脅檢測(cè)和響應(yīng)技術(shù),利用行為分析進(jìn)行異常檢測(cè),并進(jìn)行威脅狩獵演習(xí)���,這些都是增強(qiáng)檢測(cè)能力的關(guān)鍵措施�����。
強(qiáng)大的檢測(cè)和監(jiān)控能力不僅能加快威脅檢測(cè)和響應(yīng)速度��,而且有助于企業(yè)不斷更新和改進(jìn)檢測(cè)方法���,以領(lǐng)先于網(wǎng)絡(luò)犯罪分子日新月異的攻擊媒介和技術(shù)。
三���、缺乏全面的安全政策和流程
企業(yè)需要正式�����、全面的網(wǎng)絡(luò)安全政策和程序來(lái)有效管理安全風(fēng)險(xiǎn)�,否則會(huì)產(chǎn)生許多后果��,包括跨部門安全實(shí)踐不一致���、事件響應(yīng)能力減弱��、難以確保合規(guī)以及面臨更大的法律�、監(jiān)管、財(cái)務(wù)和聲譽(yù)后果����。制定和實(shí)施全面的安全政策涉及明確制定和記錄這些政策,確保有效傳達(dá)給所有員工并教育他們遵守安全政策的重要性�����。
面對(duì)不斷變化的網(wǎng)絡(luò)威脅形勢(shì)���,企業(yè)還需要定期審查、更新和調(diào)整安全政策���,確保網(wǎng)絡(luò)安全措施的有效性��。此外��,擁有一套明確定義的流程有助于標(biāo)準(zhǔn)化安全事件響應(yīng)�����,這有助于在發(fā)生網(wǎng)絡(luò)攻擊事件時(shí)減小損失并縮短恢復(fù)時(shí)間����。
四、缺乏滲透測(cè)試和安全演練
定期測(cè)試安全系統(tǒng)和事件響應(yīng)計(jì)劃對(duì)于識(shí)別防御弱點(diǎn)至關(guān)重要�。這包括定期進(jìn)行滲透測(cè)試以發(fā)現(xiàn)漏洞、創(chuàng)建���、演練和不斷改進(jìn)事件響應(yīng)計(jì)劃��,以及與第三方安全評(píng)估公司合作���。定期安全測(cè)試的重要性不容忽視,因?yàn)樗粌H有助于在攻擊者之前識(shí)別漏洞�,還可以評(píng)估現(xiàn)有安全控制的有效性。
五�����、網(wǎng)絡(luò)安全意識(shí)培訓(xùn)不足
缺乏安全意識(shí)培訓(xùn)的員工更容易成為黑客的獵物����,成為擊垮整個(gè)企業(yè)網(wǎng)絡(luò)安全防御體系的 “人肉漏洞”。此外����,缺乏安全意識(shí)培訓(xùn)還會(huì)導(dǎo)致更多配置錯(cuò)誤和人為錯(cuò)誤��,從而降低安全控制的有效性�����。企業(yè)需要提供持續(xù)的����,高頻的網(wǎng)絡(luò)安全培訓(xùn)��、鼓勵(lì)員工專業(yè)化發(fā)展并考取安全認(rèn)證�,并高度重視安全意識(shí)文化建設(shè)。
安全意識(shí)培訓(xùn)有助于確保所有級(jí)別的員工都具備識(shí)別和有效應(yīng)對(duì)安全威脅的能力�����。通過(guò)讓員工對(duì)威脅保持了解并提高警惕����,企業(yè)可顯著降低人為錯(cuò)誤導(dǎo)致的違規(guī)風(fēng)險(xiǎn)�����。最后��,積極主動(dòng)的員工安全意識(shí)培訓(xùn)也是企業(yè)實(shí)施全面網(wǎng)絡(luò)安全策略的重要組成部分。
六�����、未采用和實(shí)施安全框架
選擇并遵循網(wǎng)絡(luò)安全框架對(duì)于建立結(jié)構(gòu)化安全方法的企業(yè)至關(guān)重要?���?蚣艿膬r(jià)值在于能夠提供清晰的安全路線圖�、確保企業(yè)與行業(yè)最佳實(shí)踐保持一致,并促進(jìn)合規(guī)��。企業(yè)可根據(jù)自身的特定需求和風(fēng)險(xiǎn)容忍度選擇合適的框架(例如 NIST 網(wǎng)絡(luò)安全框架)�,并根據(jù)行業(yè)和監(jiān)管需求定制框架以符合企業(yè)的獨(dú)特要求。
安全框架為企業(yè)提供了一種結(jié)構(gòu)化方法來(lái)管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��,可幫助企業(yè)部署強(qiáng)大的安全措施和協(xié)議����,提高企業(yè)的整體安全態(tài)勢(shì)。
七�����、不了解企業(yè)風(fēng)險(xiǎn)偏好
安全主管需要充分了解企業(yè)的風(fēng)險(xiǎn)偏����,好并將其納入網(wǎng)絡(luò)安全策略���,這一點(diǎn)至關(guān)重要。企業(yè)愿意接受的風(fēng)險(xiǎn)水平各不相同�����,這種差異會(huì)影響決策和資源分配���,使企業(yè)網(wǎng)絡(luò)安全措施與企業(yè)的風(fēng)險(xiǎn)偏好和容忍度保持一致��。
安全策略并非一成不變���,而是受風(fēng)險(xiǎn)信息影響,企業(yè)需要監(jiān)控不斷變化的風(fēng)險(xiǎn)并相應(yīng)調(diào)整安全策略�。這種方法可以提高網(wǎng)絡(luò)安全措施的主動(dòng)性,重點(diǎn)是預(yù)測(cè)潛在威脅并在攻擊發(fā)生之前進(jìn)行遏制�。
結(jié)語(yǔ)
為了緩解上述安全態(tài)勢(shì)漏洞���,建議企業(yè)實(shí)施行業(yè)公認(rèn)的安全框架�����,例如 NISTCSF�����、CIS 或 SANS 等�。這些框架能幫助企業(yè)建立強(qiáng)大的網(wǎng)絡(luò)安全防御力;有針對(duì)性地制定和實(shí)施有效的安全政策�,并確保員工定期進(jìn)行安全意識(shí)培訓(xùn)?�?傊?��,無(wú)論是漏洞管理還是安全培訓(xùn)����,持續(xù)監(jiān)控和改進(jìn)至關(guān)重要����,可及時(shí)識(shí)別和糾正安全差距。
作者 | Andrew
來(lái)源 | 轉(zhuǎn)自鏈接:https://www.wangan.com/p/11v81fb7716fb73c
在線咨詢
在線咨詢
0371-63319761