近年來，針對最新網(wǎng)絡(luò)威脅或攻擊活動，政府與行業(yè)網(wǎng)絡(luò)安全人員都會做出被動性響應(yīng)，這導(dǎo)致降低網(wǎng)絡(luò)威脅變得很困難，因?yàn)閺囊婚_始，網(wǎng)絡(luò)防御就落后攻擊者一步。

一系列針對重要目標(biāo)（包括SolarWinds、克洛尼爾輸油管道, OPM, Anthem）等網(wǎng)絡(luò)攻擊向防御者敲響了警鐘，暴露出當(dāng)前防護(hù)模式的缺陷和被動性。被動防御思維在逐漸發(fā)生變化。

我們對網(wǎng)絡(luò)設(shè)備、企業(yè)和應(yīng)用互聯(lián)的依賴不斷增長，惡意軟件和黑客的網(wǎng)絡(luò)入侵也在不斷增加。包括各種犯罪組織、黑客和敵對民族國家的網(wǎng)絡(luò)攻擊者不斷增加。

Cybersecurity Ventures公司預(yù)計，未來五年，全球網(wǎng)絡(luò)犯罪成本將以每年15%的速度增長，到2025年將達(dá)到每年10.5萬億美元。此外，隨著向遠(yuǎn)程工作模式遷移，以及對創(chuàng)新技術(shù)和服務(wù)的采購需求增加，網(wǎng)絡(luò)風(fēng)險環(huán)境也發(fā)生了變化，催生對網(wǎng)絡(luò)安全新范式的需求。

IT對業(yè)務(wù)的重要性不斷增強(qiáng)，以及網(wǎng)絡(luò)攻擊活動的急劇增加，人們越來越認(rèn)識到，對攻擊活動的防范工作不僅是必要的業(yè)務(wù)成本，也是確保業(yè)務(wù)連續(xù)性和維護(hù)企業(yè)聲譽(yù)的必要手段。業(yè)界和政府已經(jīng)越來越多地認(rèn)可和采用主動網(wǎng)絡(luò)安全防御手段。

主動安全=風(fēng)險管理

在不斷發(fā)展的數(shù)字生態(tài)系統(tǒng)中，實(shí)施主動安全策略，不僅是指采購技術(shù)和雇傭人才，還意味著采用新的網(wǎng)絡(luò)安全框架，其中包含戰(zhàn)術(shù)手段、加密、驗(yàn)證、生物特征、分析以及持續(xù)測試、診斷和緩解等一系列安全措施。簡而言之，主動網(wǎng)絡(luò)安全能幫助實(shí)現(xiàn)業(yè)務(wù)的連續(xù)性。

從核心意義上講，成功的網(wǎng)絡(luò)威脅應(yīng)對戰(zhàn)略可以緩解風(fēng)險、響應(yīng)突發(fā)事件，以保持業(yè)務(wù)連續(xù)性。感知不斷變化的網(wǎng)絡(luò)威脅形勢，為所有潛在情景制定應(yīng)急計劃，是非常關(guān)鍵的措施。風(fēng)險管理戰(zhàn)略要求加強(qiáng)態(tài)勢感知、信息共享，尤其是網(wǎng)絡(luò)彈性規(guī)劃。

網(wǎng)絡(luò)漏洞風(fēng)險評估是實(shí)現(xiàn)主動網(wǎng)絡(luò)安全的基礎(chǔ)，是網(wǎng)絡(luò)安全最佳實(shí)踐的關(guān)鍵第一步。它可以快速識別網(wǎng)絡(luò)漏洞并確定漏洞優(yōu)先級，以便可以立即部署解決方案，保護(hù)關(guān)鍵資產(chǎn)免受惡意網(wǎng)絡(luò)行為者的攻擊，同時可以立即提高整體運(yùn)營安全。

全面的風(fēng)險管理方法應(yīng)包括網(wǎng)絡(luò)安全最佳實(shí)踐、教育/培訓(xùn)、使用政策和許可、配置網(wǎng)絡(luò)訪問、代碼測試、安全控制、應(yīng)用程序、設(shè)備管理、應(yīng)用控制和定期網(wǎng)絡(luò)審計。

目前，可以通過三種策略來加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險管理，這包括設(shè)計即安全(SecureBydesign)、縱深防御和零信任。設(shè)計即安全(Secure By design)維護(hù)安全流程；通過縱深防御部署多層冗余保護(hù)措施以防止數(shù)據(jù)泄露；零信任則通過身份驗(yàn)證和適當(dāng)?shù)氖跈?quán)來實(shí)現(xiàn)嚴(yán)格的身份和訪問管理，重點(diǎn)保護(hù)企業(yè)資源（包括資產(chǎn)、服務(wù)、工作流、網(wǎng)絡(luò)帳戶等）。

具體的主動安全方法因環(huán)境而異，但連接網(wǎng)絡(luò)安全各個要素的網(wǎng)格是態(tài)勢感知與緊急情況下關(guān)鍵通信的系統(tǒng)能力的結(jié)合。該指導(dǎo)原則在美國政府國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）為工業(yè)和政府部門制定的指南得到體現(xiàn)，即：“識別、保護(hù)、檢測、響應(yīng)、恢復(fù)”。

第一步：代碼和應(yīng)用測試

測試軟件代碼是信息技術(shù)產(chǎn)品驗(yàn)證的關(guān)鍵功能。如果不遵循測試流程，產(chǎn)品最終可能存在缺陷，使機(jī)構(gòu)面臨風(fēng)險。檢測和修復(fù)軟件開發(fā)中的缺陷是確保產(chǎn)品最終質(zhì)量的有效方法。

評估需要從應(yīng)用安全測試開始，以識別代碼或軟件錯誤配置中可被利用的漏洞，或發(fā)現(xiàn)應(yīng)用中已存在的惡意軟件。代碼是應(yīng)用和網(wǎng)絡(luò)的基礎(chǔ)，防范和預(yù)防網(wǎng)絡(luò)攻擊要從發(fā)現(xiàn)代碼的已知和未知漏洞開始。

新發(fā)布的代碼，特別是第三方軟件，在網(wǎng)絡(luò)安裝之前，需要徹底進(jìn)行識別、評估和驗(yàn)證。行業(yè)主管機(jī)構(gòu)網(wǎng)站（如CERT）和安全公司發(fā)布的預(yù)警對于網(wǎng)絡(luò)安全團(tuán)隊(duì)監(jiān)控新的已知漏洞非常重要。

新發(fā)布的代碼存在威脅，許多應(yīng)用和程序可能已在有缺陷和違規(guī)接入點(diǎn)的系統(tǒng)上運(yùn)行了，也是威脅的來源。作為漏洞評估的一部分，需要檢查遺留代碼的補(bǔ)丁和任何新發(fā)布的代碼。每個應(yīng)用都從軟件編碼開始，用相關(guān)檢測標(biāo)準(zhǔn)來優(yōu)化和發(fā)現(xiàn)漏洞。這些工作可以通過可視化掃描和滲透測試來完成，包括驗(yàn)證/確認(rèn)存在漏洞的源代碼。測試和驗(yàn)證測試的目的是在問題被帶入產(chǎn)品并污染網(wǎng)絡(luò)和設(shè)備之前，能夠及時發(fā)現(xiàn)它們的存在。

已知的問題往往明確的。軟件測試、評估和驗(yàn)證的一大挑戰(zhàn)是要能預(yù)測網(wǎng)絡(luò)安全中的未知威脅。這些未知威脅可能包括檢測無法被沙箱、基于簽名和其他行為識別的隱藏惡意軟件。

對大多數(shù)公司來說，軟件測試能夠確保產(chǎn)品質(zhì)量。在問題進(jìn)入市場之前提前得到解決。測試能夠檢查產(chǎn)品的一致性、用戶界面和功能，并轉(zhuǎn)化為客戶滿意度。如果計劃發(fā)布應(yīng)用，有必要檢查該品在各種操作系統(tǒng)和設(shè)備中的兼容性和性能。

測試與預(yù)算相關(guān)，因?yàn)樗哂谐杀拘б妗Ｔ谲浖_發(fā)過程中可同步規(guī)劃軟件測試，可以實(shí)現(xiàn)在軟件開發(fā)生命周期的初始階段，捕獲并修復(fù)軟件缺陷和錯誤配置，從而節(jié)省軟件開發(fā)成本。

軟件測試還要考慮的一個重要因素就是安全性。如果開發(fā)中的產(chǎn)品中內(nèi)置安全功能，則能夠提高用戶的信任度。在網(wǎng)絡(luò)威脅行為日益復(fù)雜的情況下，產(chǎn)品安全是行業(yè)和政府軟件的一項(xiàng)基本要求。

持續(xù)仿真驗(yàn)證測試的需求

在現(xiàn)實(shí)中，網(wǎng)絡(luò)入侵并不是一種靜態(tài)威脅，黑客總是在戰(zhàn)術(shù)和能力上不斷演變。網(wǎng)絡(luò)犯罪份子現(xiàn)在使用更強(qiáng)的規(guī)避技術(shù)，如果惡意軟件檢測到是在沙箱運(yùn)行或檢測到其它惡意軟件檢測能力，惡意軟件甚至可以停止運(yùn)行。

漏洞利用組件注入目標(biāo)系統(tǒng)后，軟件就會運(yùn)行代碼注入或篡改目標(biāo)系統(tǒng)的內(nèi)存空間。通常，犯罪分子使用地下或暗網(wǎng)出售的被盜證書繞過反惡意軟件大檢測和機(jī)器學(xué)習(xí)代碼。行業(yè)和政府必須采取更多措施應(yīng)對和遏制網(wǎng)絡(luò)威脅的挑戰(zhàn)。

由于黑客利用復(fù)雜且不斷增長的攻擊面，測試需要超越傳統(tǒng)的漏洞掃描和手動滲透測試。它還需要實(shí)現(xiàn)自動化，以跟上不斷進(jìn)化的網(wǎng)絡(luò)環(huán)境，預(yù)測黑客可能的攻擊行為，并配備有效的防范手段。這些可通過持續(xù)的模擬驗(yàn)證測試來實(shí)現(xiàn)。

通過模擬驗(yàn)證，可即時查看防御結(jié)果，還可頻繁執(zhí)行測試，不依賴于測試人員的技能水平，而這可能是導(dǎo)致漏洞大脆弱點(diǎn)。

鑒于每天都會在網(wǎng)絡(luò)中出現(xiàn)新的攻擊載荷和形式，持續(xù)模擬驗(yàn)證測試，再結(jié)合滲透測試，是很好的應(yīng)對途徑。目前有幾家供應(yīng)商提出了不同的持續(xù)安全驗(yàn)證解決方案。供應(yīng)商Cymulate表示，2021對企業(yè)最大的威脅包括LockBit, Conti 和Dharma 勒索軟件HAFNIUM, TeamTNT，以及濫用Log4j 的APT29。Cymulate的模擬驗(yàn)證方法采用即時威脅智能模塊，通過在事先創(chuàng)建的測試場景中模擬潛在新型威脅，以評估和優(yōu)化企業(yè)電子郵件網(wǎng)關(guān)、Web網(wǎng)關(guān)和端點(diǎn)安全控制。

模擬攻擊非常有效，因?yàn)樗{(lán)隊(duì)可以通過該方法，集成現(xiàn)有安全應(yīng)用和系統(tǒng)（包括漏洞管理、EDR、SIEM、SOAR和GRC系統(tǒng)），來評估和調(diào)優(yōu)自身的檢測、告警和響應(yīng)能力。

網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性

遭受攻擊后，必須持續(xù)不斷提升網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性，以優(yōu)化和完善響應(yīng)協(xié)議、培訓(xùn)安全人員以及部署自動檢測和備份等技術(shù)。

提升網(wǎng)絡(luò)彈性、保持業(yè)務(wù)連續(xù)性、增加技術(shù)創(chuàng)新，加強(qiáng)政府和行業(yè)負(fù)責(zé)人之間的合作，這是經(jīng)驗(yàn)證、行之有效的模式。政府和私營機(jī)構(gòu)可以合作發(fā)現(xiàn)有效的安全產(chǎn)品，協(xié)調(diào)靈活的產(chǎn)品發(fā)展路線，評估技術(shù)差距，幫助設(shè)計、評估和模擬可擴(kuò)展架構(gòu)，以提高企業(yè)效率，優(yōu)化問責(zé)制度。

信息共享也是保證網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性的關(guān)鍵一環(huán)，因?yàn)樗兄谛袠I(yè)和政府了解最新的病毒、惡意軟件、網(wǎng)絡(luò)釣魚威脅、勒索軟件、內(nèi)部威脅，尤其是拒絕服務(wù)攻擊。信息共享也可以建立有效的經(jīng)驗(yàn)總結(jié)和網(wǎng)絡(luò)彈性工作機(jī)制，這對于商業(yè)成功和打擊網(wǎng)絡(luò)犯罪至關(guān)重要。過去幾年，美國國土安全部關(guān)鍵設(shè)施網(wǎng)絡(luò)安全局（DHS CISA）擴(kuò)大了信息共享計劃，特別是與參與關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營的企業(yè)加強(qiáng)信息共享。

主動安全要求必須加強(qiáng)與董事會、管理團(tuán)隊(duì)的有效溝通。CISO、CTO、CIO和管理層必須協(xié)調(diào)戰(zhàn)略、加強(qiáng)合作，并定期評估信息安全計劃、安全控制和網(wǎng)絡(luò)安全。如果入侵影響到公司的運(yùn)營，則通常需要聲譽(yù)管理。

安全補(bǔ)救措施對業(yè)務(wù)連續(xù)性很重要。不管怎樣，入侵事件總會發(fā)生。為了實(shí)現(xiàn)網(wǎng)絡(luò)彈性的有效性，行業(yè)和政府應(yīng)制定安全響應(yīng)計劃，包括事件減緩、業(yè)務(wù)連續(xù)性規(guī)劃以及安全備份協(xié)議，以有效應(yīng)對網(wǎng)絡(luò)和設(shè)備被入侵。技術(shù)培訓(xùn)和桌面演練可以改進(jìn)真實(shí)網(wǎng)絡(luò)攻擊事件發(fā)生時的安全響應(yīng)計劃實(shí)施。

吸納過去數(shù)年的最佳實(shí)踐及從安全事件中吸取的教訓(xùn)，對構(gòu)建防御計劃中的攻擊預(yù)防、恢復(fù)和連續(xù)性要素提供了寶貴數(shù)據(jù)。不幸的是，許多企業(yè)在準(zhǔn)備和分析安全事件時仍然疏忽大意。Wakefield Research最近的一項(xiàng)研究發(fā)現(xiàn)，三分之一的中型組織缺乏安全響應(yīng)計劃。

新興技術(shù)挑戰(zhàn)

新興技術(shù)既是網(wǎng)絡(luò)防御者的工具，也是威脅攻擊者的工具。當(dāng)前的網(wǎng)絡(luò)威脅面包括人工智能、機(jī)器智能、物聯(lián)網(wǎng)、5G、虛擬和增強(qiáng)現(xiàn)實(shí)以及量子計算。

自動化技術(shù)結(jié)合人工和機(jī)器智能，是新興的未來網(wǎng)絡(luò)安全方法。人工智能（AI）將成為網(wǎng)絡(luò)安全的一大催化劑，推動實(shí)現(xiàn)實(shí)時威脅檢測和分析。公司通過該技術(shù)能夠監(jiān)控到其系統(tǒng)中有什么，以及異常的行為。

人工智能可被犯罪黑客惡意使用，用來發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并自動實(shí)施網(wǎng)絡(luò)釣魚攻擊。如果企業(yè)不使用自動化安全防護(hù)，或者不理解此類技術(shù)被濫用的影響，將嚴(yán)重?fù)p害網(wǎng)絡(luò)彈性和連續(xù)性。在不久的將來，人工智能和其他新興技術(shù)都將對安全和運(yùn)營模式產(chǎn)生顛覆性影響。應(yīng)對新的和更復(fù)雜威脅將是未來十年網(wǎng)絡(luò)彈性和業(yè)務(wù)連續(xù)性的基礎(chǔ)。

在當(dāng)今復(fù)雜的威脅環(huán)境中，企業(yè)要生存和發(fā)展，網(wǎng)絡(luò)安全就不能再被事后考慮。對于任何身處數(shù)字領(lǐng)域的人士來說，都應(yīng)該采取主動安全而不是被動防御。在網(wǎng)絡(luò)風(fēng)險管理中，有多種既定路徑可遵循，以彌補(bǔ)不足、加強(qiáng)防御。