網絡安全是一場跌宕起伏，永無止境的拉鋸戰。攻擊者的技術和手法不斷花樣翻新，主打一個“避實就虛”和“出奇制勝”;防御者的策略則強調“求之于勢，不責于人”，依靠整體安全態勢和風險策略的成熟度和韌性來化解風險。

此外，經常被忽視的一點是，基礎安全策略和實踐同樣重要。根據微軟2023年數字防御風險報告，良好的基礎安全實踐可以防御99%的網絡攻擊。例如，漏洞管理、安全意識培訓以及定期的安全評估工作。

本文我們將重點介紹安全評估工作的重要性及常見的七大企業安全態勢漏洞。

定期評估安全態勢的重要性

企業建設彈性安全態勢始于發現和識別現有漏洞。然而，大多數企業的漏洞可見性都很差。當被問及所在企業的漏洞可視性時，只有不到一半的網絡安全專業人員表示擁有高(35%)或完全(11%)的可視性。超過半數(51%)的企業對自身的漏洞只有中等的可見性。

定期的安全評估是企業了解自身安全態勢和風險的主要方式之一。這些評估會全面審查企業的網絡安全實踐和基礎設施，評估的范圍和頻率取決于企業的需求和風險管理計劃的成熟度。

安全成熟度和與安全評估頻率的關系

• 未成熟或無風險策略：不定期進行評估，或僅按臨時計劃進行評估。
• 初始或臨時風險策略：通常每季度或每月進行一次評估。
• 成熟或既定策略：通常每月進行一次評估。
• 高級策略：定期評估會納入整體風險管理計劃，每月或每周進行一次。

不同安全成熟度的安全評估頻率

常見安全框架的測試頻率

• NISTCSF：美國國家標準和技術研究院(NIST)的指南根據治理框架的具體指南，從每季度到每月掃描不等。
• PCIDSS：支付卡行業數據安全標準(PCIDSS)要求每季度進行掃描。
• HIPAA：健康保險可攜性責任法案(HIPAA)沒有要求具體掃描間隔，但強調制定明確的評估策略的重要性。

定期安全評估任務類型

• 漏洞掃描
• 滲透測試
• 突發事件和勒索軟件模擬
• 安全聲譽掃描
• 業務影響分析
• 安全態勢評估

定期的安全評估就像企業網絡的“體檢”工作，能夠早期發現和識別潛在的安全威脅和漏洞。

安全態勢六大常見漏洞

以下是定期安全態勢評估發現的企業安全態勢七大常見漏洞：

一、缺乏精準漏洞管理能力

在解決了漏洞的可見性問題后，接下來的難題是如何根據漏洞的嚴重性和潛在影響劃分優先級，并有效緩解已知漏洞。

企業必須認識到，漏洞管理是安全運營的“基本功”和關鍵任務，企業能夠處理的漏洞數量遠遠趕不上漏洞增長的速度。因此，企業如果沒有精準高效的漏洞管理能力，安全債和風險就會像滾雪球般越來越大。

二、檢測和監控不足

檢測系統不足會導致企業對正在進行的威脅視而不見，從而使攻擊者能夠長時間操作而不被發現。如果沒有必要的檢測系統，例如先進的入侵檢測系統(IDS)或安全信息和事件管理(SIEM)解決方案，企業將面臨錯過威脅檢測、攻擊者駐留時間增加以及數據泄露風險增高的風險。因此，企業非常有必要購買先進的監控工具，部署先進的威脅檢測和響應技術，利用行為分析進行異常檢測，并進行威脅狩獵演習，這些都是增強檢測能力的關鍵措施。

強大的檢測和監控能力不僅能加快威脅檢測和響應速度，而且有助于企業不斷更新和改進檢測方法，以領先于網絡犯罪分子日新月異的攻擊媒介和技術。

三、缺乏全面的安全政策和流程

企業需要正式、全面的網絡安全政策和程序來有效管理安全風險，否則會產生許多后果，包括跨部門安全實踐不一致、事件響應能力減弱、難以確保合規以及面臨更大的法律、監管、財務和聲譽后果。制定和實施全面的安全政策涉及明確制定和記錄這些政策，確保有效傳達給所有員工并教育他們遵守安全政策的重要性。

面對不斷變化的網絡威脅形勢，企業還需要定期審查、更新和調整安全政策，確保網絡安全措施的有效性。此外，擁有一套明確定義的流程有助于標準化安全事件響應，這有助于在發生網絡攻擊事件時減小損失并縮短恢復時間。

四、缺乏滲透測試和安全演練

定期測試安全系統和事件響應計劃對于識別防御弱點至關重要。這包括定期進行滲透測試以發現漏洞、創建、演練和不斷改進事件響應計劃，以及與第三方安全評估公司合作。定期安全測試的重要性不容忽視，因為它不僅有助于在攻擊者之前識別漏洞，還可以評估現有安全控制的有效性。

五、網絡安全意識培訓不足

缺乏安全意識培訓的員工更容易成為黑客的獵物，成為擊垮整個企業網絡安全防御體系的“人肉漏洞”。此外，缺乏安全意識培訓還會導致更多配置錯誤和人為錯誤，從而降低安全控制的有效性。企業需要提供持續的，高頻的網絡安全培訓、鼓勵員工專業化發展并考取安全認證，并高度重視安全意識文化建設。

安全意識培訓有助于確保所有級別的員工都具備識別和有效應對安全威脅的能力。通過讓員工對威脅保持了解并提高警惕，企業可顯著降低人為錯誤導致的違規風險。最后，積極主動的員工安全意識培訓也是企業實施全面網絡安全策略的重要組成部分。

六、未采用和實施安全框架

選擇并遵循網絡安全框架對于建立結構化安全方法的企業至關重要。框架的價值在于能夠提供清晰的安全路線圖、確保企業與行業最佳實踐保持一致，并促進合規。企業可根據自身的特定需求和風險容忍度選擇合適的框架(例如NIST網絡安全框架)，并根據行業和監管需求定制框架以符合企業的獨特要求。

安全框架為企業提供了一種結構化方法來管理網絡安全風險，可幫助企業部署強大的安全措施和協議，提高企業的整體安全態勢。

七、不了解企業風險偏好

安全主管需要充分了解企業的風險偏，好并將其納入網絡安全策略，這一點至關重要。企業愿意接受的風險水平各不相同，這種差異會影響決策和資源分配，使企業網絡安全措施與企業的風險偏好和容忍度保持一致。

安全策略并非一成不變，而是受風險信息影響，企業需要監控不斷變化的風險并相應調整安全策略。這種方法可以提高網絡安全措施的主動性，重點是預測潛在威脅并在攻擊發生之前進行遏制。

結語

為了緩解上述安全態勢漏洞，建議企業實施行業公認的安全框架，例如NISTCSF、CIS或SANS等。這些框架能幫助企業建立強大的網絡安全防御力;有針對性地制定和實施有效的安全政策，并確保員工定期進行安全意識培訓。總之，無論是漏洞管理還是安全培訓，持續監控和改進至關重要，可及時識別和糾正安全差距。