人們對網絡安全最大的誤解之一是合規性等同于全面的安全性。

 

人們應該把安全合規視為一種安全演習：就像企業擁有人員疏散計劃，但并不能防止火災一樣。諸如美國聯邦貿易委員會“保障規則”和支付卡行業(PCI)標準等法規旨在加強信息安全，這些標準確實做到了，但它們是網絡安全團隊應該遵守標準法規的下限，而不是上限。

 

此外，日益復雜的網絡安全監管環境使得依賴基于合規性的方法變得越來越不穩定。企業可能會耗盡資源來完成年度或季度審計。一旦審計通過，自滿情緒就會出現，而在下一個審計周期開始之前，可能出現新的漏洞。這種方法引入了安全漏洞，網絡攻擊者很快就會利用這些漏洞。

 

首席信息安全官需要改變這個根深蒂固且有缺陷的流程。要超越多種選項的思維模式，需要培養一種優先考慮持續改進網絡安全防御和實踐的企業文化，而不僅僅是通過定期審計，這一轉變將構成強大和適應性安全態勢的基石。

 

所以關鍵的問題是：企業如何開始建立一種持續網絡改進的有效文化?這一切都始于強調實時安全實踐。

 

 

實時的安全實踐和定期的安全實踐之間的相互作用是有效的漏洞管理的核心。由于每一種實踐都有其獨特的價值主張，一個強大的網絡防御戰略必須將這兩種類型的實踐融合成一個統一的方法。

 

在這個威脅瞬息萬變的世界里，實時的安全實踐是不可或缺的。例如，端點檢測和漏洞檢測必須是正在進行的過程。它們為網絡提供發生變化的信息，在威脅出現時提醒企業。實時活動的失誤可能會帶來災難：最近的勒索軟件攻擊表明，存在的漏洞可以在短短幾小時內被利用，有時甚至更短。一個有效的實時安全系統提供了在漏洞被利用之前檢測和糾正漏洞所需的關鍵窗口。

 

另一方面，定期的安全實踐(例如滲透測試)提供了對系統進行壓力測試和發現潛在弱點的機會。不過，它們的價值不應被夸大。滲透測試不是日常工具：它們更類似于性能評估。它們證明存在問題，但首先提醒注意問題的是持續的安全監控。

 

一些首席信息安全官嚴重依賴滲透測試，誤以為它是解決網絡安全問題的靈丹妙藥。雖然滲透測試很有價值，但它們的設計目的并不是提供企業每天面臨的威脅的實時數據。

 

保持平衡是關鍵。首席信息安全官必須管理實時活動，例如監控網絡流量、威脅搜索和漏洞檢測，以及例如滲透測試、風險評估和審計等定期活動。這種方法確保了全面的覆蓋，利用每個實踐的優勢來創建一個環環相扣的、有彈性的網絡威脅防御策略。企業的目標是創建一個安全系統，它不僅能夠在審計中幸存下來，而且能夠在面對現實世界的威脅時表現出色。

 

 

為了建立網絡安全改進文化，企業必須建立有效的漏洞管理策略，該策略依賴于不斷評估潛在威脅的暴露情況，并采取主動措施減輕威脅。這一過程需要數據收集、威脅情報、風險評估和快速反應的復雜結合。

 

健壯的實時漏洞管理策略以一致的監控為基礎。這涉及到利用安全信息和事件管理系統以及端點檢測和響應平臺來收集和分析整個網絡的安全數據。這些工具旨在識別可能指示潛在安全事件的異常模式或行為。它們為響應網絡威脅的方法提供了基礎，使企業能夠在檢測到威脅時快速響應。

 

與這些系統相輔相成的是威脅情報饋送，它提供有關最新已知威脅和漏洞利用的數據。將威脅情報與安全信息和事件管理系統以及端點檢測和響應工具集成可以增強其有效性，從而更快、更準確地檢測到威脅。

 

一旦檢測到威脅，企業需要進行風險評估，以確定其響應的優先級。并非所有漏洞都具有相同級別的風險，應該根據潛在影響分配資源。像通用漏洞評分系統這樣的工具為評估漏洞的嚴重性提供了一種標準化的方法。這使得企業可以首先集中精力解決高風險漏洞，降低整體網絡風險。

 

除了通用漏洞評分系統之外，企業必須確保他們有快速響應和修復檢測到的漏洞的過程。這可能涉及補丁管理系統以快速部署更新或事件響應團隊以管理更復雜的威脅。

 

實現持續改進網絡的企業文化需要對這些先進的技術能力進行投資。它需要超越傳統的、以合規性為中心的思維模式，并培養一種主動的方法，將實時威脅檢測和響應置于企業網絡戰略的中心。

 

 

國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)

 

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。