信息來(lái)源：安全牛

網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)每年倍增，CIO 和 CISO 是否應(yīng)重新思考他們組織的 IT 安全方法？重點(diǎn)放在攻擊的預(yù)防（事前）？還是遏制（事中和事后）？

說(shuō)到對(duì)抗網(wǎng)絡(luò)犯罪，重點(diǎn)往往一邊倒向預(yù)防。

但僅去年一年，針對(duì)企業(yè)的攻擊規(guī)模就增加 122% ，充分暴露出公司企業(yè)在對(duì)抗網(wǎng)絡(luò)犯罪上的艱難處境。一旦有攻擊發(fā)生，重點(diǎn)很快就會(huì)轉(zhuǎn)向遏制攻擊，并確保損害盡可能小。但企業(yè)該如何有效做到這一點(diǎn)呢？

發(fā)展出全面的方法

網(wǎng)絡(luò)犯罪威脅的規(guī)模和復(fù)雜度均在增長(zhǎng)。沒有哪種特定方法能夠根除所有風(fēng)險(xiǎn)。

網(wǎng)絡(luò)態(tài)勢(shì)的不斷發(fā)展和人們對(duì)技術(shù)的日漸依賴，意味著數(shù)據(jù)防護(hù)是所有公司、行業(yè)和地區(qū)的關(guān)注重點(diǎn)。

僅偏向遏制或僅偏向防御，都不會(huì)是成功的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方案。

企業(yè)所具備的及時(shí)檢測(cè)并有效響應(yīng)攻擊的能力，對(duì)緩解潛在的金融、聲譽(yù)或合規(guī)災(zāi)難起到了至關(guān)重要的作用。

無(wú)論如何，不能僅僅因?yàn)槭袌?chǎng)偏向這個(gè)方向，就錯(cuò)誤地從防御攻擊完全轉(zhuǎn)向管理攻擊。

企業(yè)應(yīng)采取全面的網(wǎng)絡(luò)威脅方案，來(lái)提供可以抵御潛在的商業(yè)詐騙或網(wǎng)絡(luò)犯罪所需的全部對(duì)策。

這些安全對(duì)策需要根據(jù)企業(yè)風(fēng)險(xiǎn)的優(yōu)先級(jí)排序，并考慮納入公司的業(yè)務(wù)風(fēng)險(xiǎn)范疇。

其中一些對(duì)策可以減輕網(wǎng)絡(luò)威脅概率，比如說(shuō)加密和強(qiáng)身份驗(yàn)證等 “防御控制措施”；或者減少攻擊的商業(yè)影響，比如說(shuō)實(shí)現(xiàn)安全運(yùn)營(yíng)中心或投保網(wǎng)絡(luò)保險(xiǎn)等 “遏制控制措施”。

推動(dòng)安全策略的另一個(gè)途徑，是實(shí)現(xiàn)基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)運(yùn)營(yíng)模型。為此，企業(yè)必須從董事會(huì)和高級(jí)管理層開始定義清晰的治理。

良好的安全是層次化的，公司的各個(gè)方面都需要考慮安全。

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理中涉及的不同實(shí)體之間需要定義良好的角色與職責(zé)隔離（財(cái)務(wù)、風(fēng)險(xiǎn)、運(yùn)營(yíng)、HR、IT、CISO/CSO、合規(guī)），安全投資也應(yīng)與公司的風(fēng)險(xiǎn)胃納相一致。

僅偏向遏制或僅偏向防御，都不是協(xié)調(diào)一致的成功網(wǎng)絡(luò)風(fēng)險(xiǎn)管理方法。

遏制攻擊

網(wǎng)絡(luò)彈性取決于攻擊預(yù)防與緩解。比如說(shuō)，封鎖勒索軟件很重要，但公司應(yīng)總是留有備份以防萬(wàn)一。

遏制攻擊的步驟與攻擊類型和企業(yè)規(guī)模相關(guān)。攻擊性質(zhì)不同，遏制攻擊所采取的步驟就不一樣。遏制數(shù)據(jù)泄露的步驟可能涉及到限制訪問(wèn)權(quán)限、實(shí)現(xiàn)密碼策略，或者通告受害者。而想要阻止入侵，企業(yè)應(yīng)該想象最壞場(chǎng)景，并為之做出規(guī)劃。

作為其中的一部分，網(wǎng)絡(luò)安全必須是層次化的。邊界防御和員工培訓(xùn)就是預(yù)防性安全措施。限制用戶訪問(wèn)、跟蹤網(wǎng)絡(luò)與用戶行為歸屬緩解措施，備份和網(wǎng)絡(luò)保險(xiǎn)則是災(zāi)難恢復(fù)的一部分。

隨著網(wǎng)絡(luò)罪犯不斷開發(fā)繞過(guò)安全系統(tǒng)的方法，新的防御方法和解決方案也在不斷涌現(xiàn)。零信任就是旨在強(qiáng)化身份驗(yàn)證過(guò)程的安全模型。但是此類解決方案真的能夠提供所需的安全嗎？

零信任就是旨在強(qiáng)化身份驗(yàn)證過(guò)程的安全模型。它較適合某些環(huán)境。訪問(wèn)與邊界控制更為棘手的混亂環(huán)境就更適合采用零信任模型。但這些環(huán)境中終端用戶的便利性與速度就會(huì)受到一定影響。

成功遏制攻擊也歸結(jié)于確保能夠更早檢測(cè)并更有效防御。攻擊不可避免，假定總有一天能夠消除攻擊的想法太過(guò)天真。

企業(yè)網(wǎng)絡(luò)安全的總體狀態(tài)太過(guò)糟糕，企業(yè)應(yīng)首先專注于提升自身安全水平，因?yàn)樽锓缚偸亲分鹱钊菀椎檬值哪繕?biāo)。

保護(hù) RDP（遠(yuǎn)程桌面協(xié)議）之類的簡(jiǎn)單步驟就能立即降低公司遭遇攻擊的可能性；而用戶賬戶策略審查的用戶教育則可能是長(zhǎng)期項(xiàng)目。

更快檢測(cè)攻擊需提升威脅研究，尤其是加速文件與 URL 分析的時(shí)間。

URL 和文件將僅活躍很短的一段窗口時(shí)間，所以安全公司需快速反應(yīng)且專注于使系統(tǒng)置于不僅安全還能提供恰當(dāng)報(bào)告的管理上。說(shuō)到攻擊檢測(cè)，被太多細(xì)節(jié)淹沒是個(gè)巨大的障礙，所以智能排序所報(bào)告數(shù)據(jù)的解決方案非常重要。

最小化風(fēng)險(xiǎn)

采用零信任網(wǎng)絡(luò)訪問(wèn) (ZTNA) 方法有助于最小化遺留系統(tǒng)相關(guān)風(fēng)險(xiǎn)，更能成功遏制攻擊。ZTNA 以其軟件定義邊界方法極大改變了訪問(wèn)模型，拋棄了供用戶入網(wǎng)的經(jīng)典 TCP/IP 連接方法。

對(duì)云開放，卻不同時(shí)致力于現(xiàn)代安全技術(shù)，制造出一種虛幻的安全感。

ZTNA 不是將用戶置于整個(gè)企業(yè)網(wǎng)絡(luò)上，而是建立從應(yīng)用到用戶的出站連接。由于該方法是基于策略的，僅有經(jīng)授權(quán)的用戶能夠獲得其應(yīng)用的訪問(wèn)權(quán)。而由于該零件模型不再依賴互聯(lián)網(wǎng)，也就不存在互聯(lián)網(wǎng)攻擊途徑。而且，該模型實(shí)現(xiàn)相對(duì)直觀，管理員工作更為輕松，讓企業(yè)不再擔(dān)心 VPN 系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)。另外，一旦用戶授權(quán)策略建立，企業(yè)便無(wú)需再擔(dān)憂未修復(fù)硬件系統(tǒng)的風(fēng)險(xiǎn)因素。

新威脅不斷涌現(xiàn)，軟件定義邊界的反向隧道模式不再安全，企業(yè)最好能夠重新思考并審核自身遠(yuǎn)程訪問(wèn)企業(yè)網(wǎng)絡(luò)或云端的方式。

面向云端開放，享受其帶來(lái)的靈活性，卻不同時(shí)致力于現(xiàn)代安全技術(shù)，會(huì)制造出一種虛幻的安全感。這種新的基礎(chǔ)設(shè)施中，企業(yè)網(wǎng)絡(luò)和多云環(huán)境里都有應(yīng)用存在，需要新的安全模型。

令人遺憾的是，網(wǎng)絡(luò)犯罪不僅真實(shí)存在，還在蓬勃發(fā)展，APT國(guó)家隊(duì)是網(wǎng)絡(luò)犯罪不斷擴(kuò)張的動(dòng)力之一。而且，攻擊者發(fā)起網(wǎng)絡(luò)犯罪的原因多種多樣，甚至自以為無(wú)足輕重沒人感興趣的企業(yè)都可能被當(dāng)成目標(biāo)。

盡管實(shí)現(xiàn)恰當(dāng)?shù)陌踩刂拼胧┮宰柚咕W(wǎng)絡(luò)攻擊非常重要，但各類網(wǎng)絡(luò)罪犯總在找尋新的途徑繞過(guò)這些安全措施。所以企業(yè)還需加強(qiáng)自身遏制攻擊的能力。