在快速数字化转型的背景下,企业传统的生产系统和业务环境正逐步从封闭向开放转变,业务呈现无处不在的分布、移动应用和云端基于部署。、弹性扩张等趋势。随着企业数字化发展要求不断升级,网络接入方式更加多样化,以“被动防御”为特征的传统网络安全防护模式面临巨大挑战,业界对主动安全防护策略应用的期待也越来越高。目前,主动安全策略应用存在的主要问题是误报率高、实施难度大、可管理性差,导致对主动安全技术的需求旺盛,但成功应用的项目仍然非常有限。虽然被动安全任务的需求将长期存在,但企业现在应该积极尝试采取更主动的措施,以实现更智能、更主动的安全保护策略,从而更好地保护组织的数字资产。研究人员认为,企业在应用主动安全防护策略时,应重点关注是否满足以下八个前提条件。1.做好资产分类和发现为了制定主动的网络安全策略,CISO们需要首先了解自己拥有哪些资产,知道什么需要最高级别的保护,并认识到组织愿意接受的风险.这有助于CISO确定哪些威胁对组织构成最大风险,因此需要给予最大关注。一个积极主动的网络团队了解组织的风险状况,并可以识别组织尚未面临的风险。这是能够防止攻击发生的关键因素,因为他们知道需要保护什么并考虑到所有弱点。CISO需要长期做好这项工作,需要持续识别风险并深入了解组织的攻击面。2.拥有强大的身份安全措施研究人员认为,主动安全团队不仅需要深入了解其IT环境和组织的风险状况,还需要拥有强大的身份安全控制措施,能够清楚地了解哪些用户和哪些设备正在成为目标。访问其网络和相关业务系统。多重身份验证等策略有助于确保只有授权用户才能访问企业IT环境,并防止未经授权的用户入侵。作为向零信任架构过渡的一部分,许多CISO已经实施了严格的身份验证要求。在此架构中,所有用户(包括人和设备)都必须在被授予访问权限之前对自己进行身份验证。零信任更进了一步:它还限制经过身份验证的用户只能访问他们完成工作所需的系统和数据。遵循最小特权原则将表明安全团队正在从被动事件响应转变为主动安全防御。3.提高快速响应能力,让防御措施启动黑客发起攻击前的另一个关键是安全团队要有比攻击者更快的响应能力。为此,一个主动的安全团队需要采用以攻击为中心的思维,避免那些循序渐进的公式化安全能力建设,不断完善实战安全能力建设,学会站在攻击者的角度思考问题。网络攻击没有标准模式,可靠的主动防御能力也需要随机应变以应对层出不穷的威胁。4.持续的安全监控主动的安全策略需要持续监控信息化运营的各种关键参数,及时发现可疑的行为和活动。安全团队可以使用基于SaaS的安全工具,或者与托管安全服务商合作完成系统运行监控。这种监控使安全团队能够及早发现威胁:黑客试图利用欺骗性网站、被劫持的公司徽标和其他形式的社会工程攻击,从而使安全团队有时间采取对策以最大程度地减少这些尝试。5、主动搜索威胁主动搜索威胁是实施主动安全策略的重要因素。安全风险识别滞后一直是业界长期存在的问题。为解决这一问题,企业安全团队需要转向主动搜索威胁,在数据泄露或勒索攻击发生前发现潜伏在IT环境中的恶意程序或攻击线索。可以从技术角度(攻击向量)和开发者(黑客)两个角度结合推断。根据SANS2022年威胁追踪调查,85%的受访者表示威胁追踪改善了他们组织的安全态势。与此同时,专家表示,使用机器学习和人工智能来帮助企业安全团队更快发现威胁的应用预计会进一步增加。安全专业人员可以受益于机器学习识别模式和预测结果的能力,这是一种提供前所未有的可见性的技术。这使网络团队能够快速扩大规模、及早发现威胁并比以往更快地响应攻击。6.高效的漏洞管理计划高效的漏洞管理计划可以识别组织中存在哪些已知漏洞并优先修补风险最高的漏洞,这是良好安全策略的重要标志。为了确保主动安全策略的实施,安全团队应该更进一步,将漏洞搜索功能添加到漏洞管理计划中。漏洞管理计划主要侧重于解决已识别的问题,而漏洞搜寻则需要安全团队主动发现未知的安全风险,例如不安全的软件代码或IT系统中的错误配置。安全专家建议,CISO们应该定期进行渗透测试,找出存在的安全漏洞,并制定漏洞披露和奖励计划,鼓励和奖励员工主动搜索、发现和修复相关漏洞问题。7.实战攻防演练主动安全团队会定期进行实战攻防演练,评估攻击成功后的应对情况。这种演练也可以采用沙盘演练的形式进行。由于演习设想并验证了攻击可能如何发生,因此它们可以帮助安全团队识别现有安全计划中的漏洞。然后,组织可以有针对性地缩小差距,以防止预想的事件场景发生。攻防演练还有助于发现事件响应计划中的漏洞,并帮助安全团队缩小这些漏洞。这种排练还可以为团队成员建立“肌肉记忆”,使组织能够在发生类似事件时更快、更有效地采取行动,最大限度地减少中断。8.防患于未然高瞻远瞩,洞见未来,这很重要。主动的安全策略应侧重于发现和掌握新兴安全技术、产品和标准的应用;此外,应根据企业实际需要,尽快将这些新方法纳入企业安全战略和实施计划。这允许安全组织在新的威胁变化出现之前做好准备。例如,许多组织已经在考虑量子计算将如何影响他们的安全计划,确定当前安全措施将在哪些方面失效,并确定新的保护措施。主动安全团队现在应该考虑所有这些问题,因为他们会提前为多年后的威胁场景制定路线图。
