網絡攻擊的風險每年倍增，CIO 和 CISO 是否應重新思考他們組織的 IT 安全方法?重點放在攻擊的預防(事前)?還是遏制(事中和事后)?

[[287146]]

說到對抗網絡犯罪，重點往往一邊倒向預防。

但僅去年一年，針對企業的攻擊規模就增加 122% ，充分暴露出公司企業在對抗網絡犯罪上的艱難處境。一旦有攻擊發生，重點很快就會轉向遏制攻擊，并確保損害盡可能小。但企業該如何有效做到這一點呢?

發展出全面的方法

網絡犯罪威脅的規模和復雜度均在增長。沒有哪種特定方法能夠根除所有風險。

網絡態勢的不斷發展和人們對技術的日漸依賴，意味著數據防護是所有公司、行業和地區的關注重點。

僅偏向遏制或僅偏向防御，都不會是成功的網絡風險管理方案。

企業所具備的及時檢測并有效響應攻擊的能力，對緩解潛在的金融、聲譽或合規災難起到了至關重要的作用。

無論如何，不能僅僅因為市場偏向這個方向，就錯誤地從防御攻擊完全轉向管理攻擊。

企業應采取全面的網絡威脅方案，來提供可以抵御潛在的商業詐騙或網絡犯罪所需的全部對策。

這些安全對策需要根據企業風險的優先級排序，并考慮納入公司的業務風險范疇。

其中一些對策可以減輕網絡威脅概率，比如說加密和強身份驗證等 “防御控制措施”;或者減少攻擊的商業影響，比如說實現安全運營中心或投保網絡保險等 “遏制控制措施”。

推動安全策略的另一個途徑，是實現基于風險的網絡運營模型。為此，企業必須從董事會和高級管理層開始定義清晰的治理。

良好的安全是層次化的，公司的各個方面都需要考慮安全。

網絡風險管理中涉及的不同實體之間需要定義良好的角色與職責隔離(財務、風險、運營、HR、IT、CISO/CSO、合規)，安全投資也應與公司的風險胃納相一致。

僅偏向遏制或僅偏向防御，都不是協調一致的成功網絡風險管理方法。

遏制攻擊

網絡彈性取決于攻擊預防與緩解。比如說，封鎖勒索軟件很重要，但公司應總是留有備份以防萬一。

遏制攻擊的步驟與攻擊類型和企業規模相關。攻擊性質不同，遏制攻擊所采取的步驟就不一樣。遏制數據泄露的步驟可能涉及到限制訪問權限、實現密碼策略，或者通告受害者。而想要阻止入侵，企業應該想象最壞場景，并為之做出規劃。

作為其中的一部分，網絡安全必須是層次化的。邊界防御和員工培訓就是預防性安全措施。限制用戶訪問、跟蹤網絡與用戶行為歸屬緩解措施，備份和網絡保險則是災難恢復的一部分。

隨著網絡罪犯不斷開發繞過安全系統的方法，新的防御方法和解決方案也在不斷涌現。零信任就是旨在強化身份驗證過程的安全模型。但是此類解決方案真的能夠提供所需的安全嗎?

零信任就是旨在強化身份驗證過程的安全模型。

零信任較適合某些環境。訪問與邊界控制更為棘手的混亂環境就更適合采用零信任模型。但這些環境中終端用戶的便利性與速度就會受到一定影響。

成功遏制攻擊也歸結于確保能夠更早檢測并更有效防御。攻擊不可避免，假定總有一天能夠消除攻擊的想法太過天真。

企業網絡安全的總體狀態太過糟糕，企業應首先專注于提升自身安全水平，因為罪犯總是追逐最容易得手的目標。

保護 RDP(遠程桌面協議)之類的簡單步驟就能立即降低公司遭遇攻擊的可能性;而用戶賬戶策略審查的用戶教育則可能是長期項目。

更快檢測攻擊需提升威脅研究，尤其是加速文件與 URL 分析的時間。

URL 和文件將僅活躍很短的一段窗口時間，所以安全公司需快速反應且專注于使系統置于不僅安全還能提供恰當報告的管理上。說到攻擊檢測，被太多細節淹沒是個巨大的障礙，所以智能排序所報告數據的解決方案非常重要。

最小化風險

采用零信任網絡訪問 (ZTNA) 方法有助于最小化遺留系統相關風險，更能成功遏制攻擊。

ZTNA 以其軟件定義邊界方法極大改變了訪問模型，拋棄了供用戶入網的經典 TCP/IP 連接方法。

對云開放，卻不同時致力于現代安全技術，制造出一種虛幻的安全感。

ZTNA 不是將用戶置于整個企業網絡上，而是建立從應用到用戶的出站連接。由于該方法是基于策略的，僅有經授權的用戶能夠獲得其應用的訪問權。而由于該零件模型不再依賴互聯網，也就不存在互聯網攻擊途徑。

而且，該模型實現相對直觀，管理員工作更為輕松，讓企業不再擔心 VPN 系統帶來的風險。另外，一旦用戶授權策略建立，企業便無需再擔憂未修復硬件系統的風險因素。

新威脅不斷涌現，軟件定義邊界的反向隧道模式不再安全，企業最好能夠重新思考并審核自身遠程訪問企業網絡或云端的方式。

面向云端開放，享受其帶來的靈活性，卻不同時致力于現代安全技術，會制造出一種虛幻的安全感。這種新的基礎設施中，企業網絡和多云環境里都有應用存在，需要新的安全模型。

令人遺憾的是，網絡犯罪不僅真實存在，還在蓬勃發展，APT國家隊是網絡犯罪不斷擴張的動力之一。而且，攻擊者發起網絡犯罪的原因多種多樣，甚至自以為無足輕重沒人感興趣的企業都可能被當成目標。

盡管實現恰當的安全控制措施以阻止網絡攻擊非常重要，但各類網絡罪犯總在找尋新的途徑繞過這些安全措施。所以企業還需加強自身遏制攻擊的能力。

【本文是51CTO專欄作者“李少鵬”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文