闞哲

網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)董事會(huì)擔(dān)憂的一個(gè)主要問(wèn)題。安全團(tuán)隊(duì)努力應(yīng)對(duì)不斷擴(kuò)大的技能差距、日益分散的網(wǎng)絡(luò)、可見(jiàn)性和補(bǔ)救以及掃描誤差導(dǎo)致工作負(fù)載不斷增加等問(wèn)題。安全團(tuán)隊(duì)的任務(wù)是克服日益嚴(yán)峻的挑戰(zhàn)，發(fā)現(xiàn)和補(bǔ)救具有最高業(yè)務(wù)風(fēng)險(xiǎn)的漏洞。因?yàn)槿绻l(fā)生數(shù)據(jù)泄露對(duì)企業(yè)的業(yè)務(wù)影響可能是巨大的。

很多企業(yè)的網(wǎng)絡(luò)安全戰(zhàn)略已經(jīng)落后，這并不是什么秘密。調(diào)研機(jī)構(gòu)最近發(fā)布的一份報(bào)告顯示，在迅速變化的威脅形勢(shì)下，40 %的首席安全官認(rèn)為他們的企業(yè)并沒(méi)有對(duì)網(wǎng)絡(luò)安全做好充分的準(zhǔn)備。這一統(tǒng)計(jì)數(shù)據(jù)表明，過(guò)去幾年，隨著數(shù)字化轉(zhuǎn)型的步伐加快，網(wǎng)絡(luò)攻擊面已在擴(kuò)大。

與此同時(shí)，網(wǎng)絡(luò)犯罪的復(fù)雜性在不斷增加，新的漏洞數(shù)量也在不斷增加。即使是更早的漏洞（例如Log4j），在未來(lái)幾年仍將對(duì)企業(yè)構(gòu)成威脅。

Anteliz表示，全球在2021年公布了20 174個(gè)新漏洞，高于2020年的18 341個(gè)，這凸顯出漏洞的數(shù)量快速增長(zhǎng)。在過(guò)去的一年，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了30多個(gè)安全警告，警告企業(yè)防范一些能夠被利用的漏洞，其中許多漏洞影響了各行業(yè)組織。影響許多設(shè)備和企業(yè)的警報(bào)的一個(gè)例子是Icefall漏洞，CISA為此在2022年6月發(fā)布了警報(bào)提醒公眾。這些警報(bào)解決了56個(gè)影響全球幾個(gè)關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中操作技術(shù)（OT）設(shè)備的漏洞。受到影響的供應(yīng)商包括霍尼韋爾、摩托羅拉、歐姆龍、西門(mén)子、艾默生、JTEKT、Bentley Nevad、Phoenix Contract、ProConOS以及Yokogawa等公司。

影響企業(yè)運(yùn)營(yíng)業(yè)務(wù)的漏洞并不復(fù)雜，導(dǎo)致企業(yè)無(wú)法最大限度地減少摩擦，也無(wú)法集中精力于健康安全和環(huán)境（HSE）影響。這使得網(wǎng)絡(luò)威脅行為者能夠更快地發(fā)現(xiàn)新的攻擊并將其武器化，從而導(dǎo)致許多漏洞。

網(wǎng)絡(luò)安全已經(jīng)成為企業(yè)董事會(huì)擔(dān)憂的一個(gè)主要問(wèn)題。安全團(tuán)隊(duì)努力應(yīng)對(duì)不斷擴(kuò)大的技能差距、日益分散的網(wǎng)絡(luò)、可見(jiàn)性和補(bǔ)救以及掃描差距所導(dǎo)致工作負(fù)載不斷增加等問(wèn)題。安全團(tuán)隊(duì)的任務(wù)是克服日益嚴(yán)峻的挑戰(zhàn)，發(fā)現(xiàn)和補(bǔ)救具有最高業(yè)務(wù)風(fēng)險(xiǎn)的漏洞。數(shù)據(jù)泄露對(duì)企業(yè)的業(yè)務(wù)影響可能是巨大的。隨著威脅和壓力的增加，那些繼續(xù)依賴傳統(tǒng)反應(yīng)性網(wǎng)絡(luò)安全方法的企業(yè)將會(huì)繼續(xù)落后。

漏洞掃描并不足夠安全

通常使用的“掃描和補(bǔ)丁”策略忽略了現(xiàn)代漏洞管理的關(guān)鍵組件，特別是在設(shè)置修復(fù)優(yōu)先級(jí)時(shí)。僅靠掃描程序無(wú)法提供足夠完整的網(wǎng)絡(luò)拓?fù)湫畔?，警?bào)會(huì)使安全運(yùn)營(yíng)過(guò)載，因此無(wú)法正確識(shí)別企業(yè)面臨的真實(shí)風(fēng)險(xiǎn)。

采用傳統(tǒng)的方法可能會(huì)讓資源有限的團(tuán)隊(duì)感到沮喪，例如依賴電子表格和人工評(píng)估來(lái)獲取漏洞的洞察。這些方法未能包括所有影響漏洞風(fēng)險(xiǎn)的因素，導(dǎo)致安全團(tuán)隊(duì)無(wú)意中將資源浪費(fèi)在網(wǎng)絡(luò)犯罪分子可能永遠(yuǎn)不會(huì)發(fā)現(xiàn)或不知道如何利用的問(wèn)題上。

如果沒(méi)有及時(shí)、準(zhǔn)確地檢測(cè)高風(fēng)險(xiǎn)漏洞并確定其優(yōu)先級(jí)，安全團(tuán)隊(duì)將無(wú)法成功降低企業(yè)面臨風(fēng)險(xiǎn)，即使他們關(guān)閉了大量漏洞?，F(xiàn)在是采取新方法的時(shí)候了，將網(wǎng)絡(luò)安全從被動(dòng)措施轉(zhuǎn)變?yōu)橹鲃?dòng)識(shí)別和降低風(fēng)險(xiǎn)的有效流程。

最近美國(guó)國(guó)家安全局（NSA）和CISA發(fā)布的指南打開(kāi)了一個(gè)新的窗口，強(qiáng)調(diào)了企業(yè)從傳統(tǒng)方法轉(zhuǎn)向漏洞管理的重要性，并指出保護(hù)OT/ICS的傳統(tǒng)方法不能充分解決當(dāng)前對(duì)這些系統(tǒng)的威脅。該指南建議創(chuàng)建一個(gè)完整的“連接清單”，作為緩解風(fēng)險(xiǎn)的關(guān)鍵步驟，還強(qiáng)調(diào)了在黑客攻擊之前消除漏洞暴露風(fēng)險(xiǎn)的重要性。為了成功地遵循這些建議，企業(yè)必須采取積極主動(dòng)的方法來(lái)進(jìn)行漏洞管理，學(xué)習(xí)在威脅環(huán)境中識(shí)別和優(yōu)先考慮暴露的漏洞。

采用基于風(fēng)險(xiǎn)的方法

安全團(tuán)隊(duì)?wèi)?yīng)該尋求采用基于風(fēng)險(xiǎn)的方法來(lái)進(jìn)行漏洞管理，通過(guò)使用更復(fù)雜的評(píng)估策略、優(yōu)先級(jí)和補(bǔ)救功能來(lái)增加對(duì)消除網(wǎng)絡(luò)犯罪分子可見(jiàn)的漏洞的關(guān)注。

基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全方法對(duì)于任何網(wǎng)絡(luò)風(fēng)險(xiǎn)管理計(jì)劃都是必不可少的。通過(guò)量化風(fēng)險(xiǎn)的概率和將產(chǎn)生的影響，企業(yè)可以就是否減輕、接受或轉(zhuǎn)移風(fēng)險(xiǎn)做出明智的決定。這種方法可以幫助企業(yè)更有效地分配資源，這比以往任何時(shí)候都更重要，可更快速有效地響應(yīng)網(wǎng)絡(luò)威脅?；陲L(fēng)險(xiǎn)的管理還使安全優(yōu)先級(jí)與業(yè)務(wù)保持一致，并幫助安全領(lǐng)導(dǎo)者在他們的觀點(diǎn)和結(jié)果上更具戰(zhàn)略性。

基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全戰(zhàn)略有多個(gè)方面，其中，企業(yè)應(yīng)該關(guān)注以下3個(gè)關(guān)鍵組成部分。

漏洞分析：通過(guò)進(jìn)行漏洞分析，企業(yè)可以識(shí)別可利用的漏洞，并在企業(yè)的網(wǎng)絡(luò)配置和安全控制中關(guān)聯(lián)數(shù)據(jù)，以確定網(wǎng)絡(luò)攻擊在哪里構(gòu)成最高風(fēng)險(xiǎn)，該策略決定了可以用來(lái)訪問(wèn)易受網(wǎng)絡(luò)攻擊的攻擊向量或網(wǎng)絡(luò)路徑。

風(fēng)險(xiǎn)評(píng)分：網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)分為企業(yè)評(píng)估安全態(tài)勢(shì)提供了一個(gè)客觀的衡量標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)考慮了一系列風(fēng)險(xiǎn)因素，包括關(guān)鍵資產(chǎn)脫機(jī)的財(cái)務(wù)影響、威脅情報(bào)的可利用性、曝光率和資產(chǎn)重要性。風(fēng)險(xiǎn)評(píng)分能夠使企業(yè)在對(duì)手破壞系統(tǒng)時(shí)量化每天的業(yè)務(wù)成本。

漏洞評(píng)估和優(yōu)先級(jí)：該策略允許具有復(fù)雜環(huán)境和有限資源的企業(yè)在最重要的地方通過(guò)優(yōu)先考慮構(gòu)成最大風(fēng)險(xiǎn)的漏洞來(lái)實(shí)現(xiàn)這一點(diǎn)。為了確定嚴(yán)重程度，漏洞評(píng)估和優(yōu)先級(jí)可以自動(dòng)考慮威脅情報(bào)、資產(chǎn)場(chǎng)景和攻擊路徑分析。

基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全管理方法具有變革性，使企業(yè)能夠?qū)Ｗ⒂谧钪匾馁Y產(chǎn)，并主動(dòng)預(yù)防威脅。自動(dòng)化解決方案可以快速有效地實(shí)現(xiàn)基于風(fēng)險(xiǎn)防范的方法，為安全團(tuán)隊(duì)節(jié)省寶貴的時(shí)間，還提供了持續(xù)監(jiān)控風(fēng)險(xiǎn)和實(shí)時(shí)自動(dòng)響應(yīng)變化的能力。最近的一項(xiàng)行業(yè)基準(zhǔn)研究發(fā)現(xiàn)，在2021年沒(méi)有出現(xiàn)數(shù)據(jù)泄露的企業(yè)中，48 %是基于風(fēng)險(xiǎn)的網(wǎng)絡(luò)安全領(lǐng)域的領(lǐng)導(dǎo)者。