雖然持續強化防御機制非常重要，但面對猛烈的惡意攻勢、我們同樣需要增加自身承受能力。

即使是安全意識最強、防范態度最積極的企業，也已經意識到違規和內部安全事件不再是“會否發生”、而是“何時發生”的問題。目前，許多組織仍然沒有把違規情況視為整體防守策略中的必須考慮的因素之一。相反，他們執著于利用強硬手段將一切想象得到的潛在威脅全部加以扼殺。不過我們必須承認，任何希望徹底彌合可資攻擊者利用的漏洞或者將攻擊面完全消除的嘗試都是錯誤的、也是徒勞的。

想要強化防御效果？必須學會以攻擊者的方式思考。攻擊鏈顯示攻擊者經常會繞過網絡與終端安全產品的更新層來執行自己的邪惡使命。目前我們正身處最危險的時代，因此必須做好經受安全事故及快速系統恢復的準備。

接下來的五大秘訣相信能幫助企業做好準備：

1. 采取以威脅為中心的安全方案。

攻擊活動本身并不涉及個人傾向，攻擊者必然要嘗試利用現有保護體系中的每一處缺失以實現最終目的。換言之，安全攻擊中并不存在可以“箭無虛發”的萬能方案，因此我們需要對整個擴展網絡環境加以保護——包括終端、移動及虛擬環境等。各環境之間必須進行信息交流，且交流過程在攻擊前、中、后三個階段始終保持進行狀態。僅靠時間點檢測與阻斷還不夠，我們需要進一步找尋全程監控且長效永固的安全機制，這樣才能在攻擊事件真正出現時將損失降至最低。

2. 盡可能提高安全機制的自動化程度。

手動流程無法抵御攻擊的嚴酷侵襲，因為惡意攻擊者往往利用自動化技術加快攻擊進程并擴大覆蓋面。我們需要減少勞動力密集型方案，并盡量簡化安全執行流程。擁有安全事件智能識別及自動提醒能力的工具會幫助安全團隊節約大量調查時間、避免為了一場虛驚而大動干戈。另外，只有這類能自動執行并調整安全策略與規則的機制才能緊跟安全威脅的變化趨勢，從而在不斷發展的IT環境中將發生最新威脅與安全漏洞的可能性降至最低。

3. 利用安全追溯機制。

現代威脅能夠把自己偽裝成安全無害的軟件，并在悄無聲息地混過安全防御機制之后才表現出惡意行為。我們需要相應技術對被認定為“安全”或“未知”的文件進行長期監控，并在文件惡意屬性顯現后立即啟動安全追溯機制——包括快速識別、范圍定位、進程跟蹤、影響調查以及問題修復等內容。

4. 改進事件響應流程。

Verizon公司在2013數據泄露調查報告中指出，有22%的事故調查需要花費數月才能準確定位泄露情況。安全事件發生時，不少企業根本拿不出可做指導的事故應急預案。事實上，每個組織都應該設置應急事件響應團隊（成員不妨以非全職身份加入），并接受與安全事件溝通與響應相關的針對性培訓。該團隊需要按照既定流程與安全政策的指導開展工作，例如根據信息安全政策的要求確保敏感數據得到保護。組織還應該制作事件響應運行手冊，幫助團隊在面臨安全事件時能夠按部就班執行預定處理方案，包括事件通知及分級匯報機制等，從而更快、更好、更準確地實施遏制與補救措施。最后，每個季度定期檢查系統方案能夠確保政策、配置與規則始終符合企業的實際安全要求。

5.幫助用戶與IT安全人員了解最新威脅。

Verizon在報告中還指出，“以惡意軟件、網絡釣魚與證書濫用為代表的攻擊技術普遍以用戶為目標，且已經成為當前主要安全威脅。”為用戶企業培訓能幫助他們了解這些惡意技術、理解限制用戶行為的安全政策有何現實意義，并從長遠角度以簡單方式更有效地防止惡意攻擊。企業還必須努力提升安全從業人士的職業技能，敦促他們不斷學習、跟上威脅發展的腳步。如果將重點放在事件識別、分類方式、遏制辦法以及影響消除等方面，安全團隊將進一步了解攻擊者掩飾安全威脅、竊取數據以及建立攻擊灘頭陣地的具體策略，從而做到防患于未然。

企業必須正視這一現實，即安全違規必然會發生。盡管繼續加強防御機制非常重要，但面對層出不窮的惡意攻擊，我們還需要努力強化自身的風險承受能力。要做好充分準備、我們需要出臺一套綜合性方案，其中包括具體技術、處理流程以及實施人員等因素。只有這樣，組織才能在攻擊活動出現時及時采取理想的應對措施。

原文地址：http://www.securityweek.com/preparing-attack-5-tips-organizations