譚軍

什么是網(wǎng)絡安全戰(zhàn)略體系？如何快速構建網(wǎng)絡安全戰(zhàn)略體系？網(wǎng)絡安全是確保信息的完整性、保密性和可用性的實踐。它代表防御安全事故和從安全事故中恢復的能力。這些安全事故包括硬盤故障或斷電，以及來自競爭對手的網(wǎng)絡攻擊等。后者包括腳本小子、黑客、有能力執(zhí)行高級持續(xù)性威脅（APT）的犯罪團伙，以及其他可對企業(yè)構成嚴重威脅的人。業(yè)務連續(xù)性和災難恢復能力對于網(wǎng)絡安全（例如應用安全和狹義的網(wǎng)絡安全）至關重要。

安全應該成為整個企業(yè)的首要考慮因素，且得到高級管理層的授權。我們?nèi)缃裆畹男畔⑹澜绲拇嗳跣砸残枰獜姶蟮木W(wǎng)絡安全控制戰(zhàn)略。管理人員應該明白，所有的系統(tǒng)都是按照一定的安全標準建立起來的，且員工都需要經(jīng)過適當?shù)呐嘤?。例如，所有代碼都可能存在漏洞，其中一些漏洞還是關鍵的安全缺陷。畢竟，開發(fā)者也只是普通人，難免出錯。

一、安全培訓

人往往是網(wǎng)絡安全規(guī)劃中最薄弱的環(huán)節(jié)。培訓開發(fā)人員進行安全編碼，培訓操作人員優(yōu)先考慮強大的安全狀況，培訓最終用戶識別網(wǎng)絡釣魚郵件和社會工程攻擊———總而言之，網(wǎng)絡安全始于意識。

然而，即便是有強大的網(wǎng)絡安全控制措施，所有企業(yè)還是難逃遭遇某種網(wǎng)絡攻擊的威脅。攻擊者總是利用最薄弱的環(huán)節(jié)，但是其實只要通過執(zhí)行一些基本的安全任務———有時被稱為“網(wǎng)絡衛(wèi)生”，很多攻擊都是可以輕松防護的。外科醫(yī)生不洗手決不允許進入手術室。同樣，企業(yè)也有責任執(zhí)行維護網(wǎng)絡安全的基本要求，例如保持強大的身份驗證實踐，以及不將敏感數(shù)據(jù)存儲在可以公開訪問的地方。

然而，一個好的網(wǎng)絡安全戰(zhàn)略需要的不僅僅是這些基本實踐。技術精湛的黑客可以規(guī)避大多數(shù)的防御措施和攻擊面———對于大多數(shù)企業(yè)而言，攻擊者入侵系統(tǒng)的方式或“向量”數(shù)正在不斷擴張。例如，隨著信息和現(xiàn)實世界的日益融合，犯罪分子和國家間諜組織正在威脅物理網(wǎng)絡系統(tǒng)的ICA，如汽車、發(fā)電廠、醫(yī)療設備，甚至你的物聯(lián)網(wǎng)冰箱。同樣地，云計算的普及應用趨勢，自帶設備辦公（BYOD）以及物聯(lián)網(wǎng)（IoT）的蓬勃發(fā)展也帶來了新的安全挑戰(zhàn)。對于這些系統(tǒng)的安全防御工作變得尤為重要。

網(wǎng)絡安全進一步復雜化的另一個突出表現(xiàn)是圍繞消費者隱私的監(jiān)管環(huán)境。遵守像歐盟《通用數(shù)據(jù)保護條例》（GDPR）這樣嚴格的監(jiān)管框架還要求賦予新的角色，以確保組織能夠滿足GDPR和其他法規(guī)對于隱私和安全的合規(guī)要求。

如此一來，對于網(wǎng)絡安全專業(yè)人才的需求開始進一步增長，招聘經(jīng)理們正在努力挑選合適的候選人來填補職位空缺。但是，對于目前這種供求失衡的現(xiàn)狀就需要組織能夠把重點放在風險最大的領域中。

二、網(wǎng)絡安全類型

網(wǎng)絡安全的范圍非常廣，但其核心領域主要如下所述，對于這些核心領域任何企業(yè)都需要予以高度的重視，將其考慮到自身的網(wǎng)絡安全戰(zhàn)略之中：

1.關鍵基礎設施

關鍵基礎設施包括社會所依賴的物理網(wǎng)絡系統(tǒng)，包括電網(wǎng)、凈水系統(tǒng)、交通信號燈以及醫(yī)院系統(tǒng)等。例如，發(fā)電廠聯(lián)網(wǎng)后就會很容易遭受網(wǎng)絡攻擊。負責關鍵基礎設施的組織的解決方案是執(zhí)行盡職調(diào)查，以確保了解這些漏洞并對其進行防范。其他所有人也都應該對他們所依賴的關鍵基礎設施，在遭遇網(wǎng)絡攻擊后會對他們自身造成的影響進行評估，然后制定應急計劃。

2.網(wǎng)絡安全（狹義）

網(wǎng)絡安全要求能夠防范未經(jīng)授權的入侵行為以及惡意的內(nèi)部人員。確保網(wǎng)絡安全通常需要權衡利弊。例如，訪問控制（如額外登錄）對于安全而言可能是必要的，但它同時也會降低生產(chǎn)力。

用于監(jiān)控網(wǎng)絡安全的工具會生成大量的數(shù)據(jù)，但是由于生成的數(shù)據(jù)量太多導致經(jīng)常會忽略有效的告警。為了更好地管理網(wǎng)絡安全監(jiān)控，安全團隊越來越多地使用機器學習來標記異常流量，并實時生成威脅警告。

3.云安全

越來越多的企業(yè)將數(shù)據(jù)遷移到云中也會帶來新的安全挑戰(zhàn)。例如，2017年幾乎每周都會報道由于云實例配置不當而導致的數(shù)據(jù)泄露事件。云服務提供商正在創(chuàng)建新的安全工具，以幫助企業(yè)用戶能夠更好地保護他們的數(shù)據(jù)，但是需要提醒大家的是：對于網(wǎng)絡安全而言，遷移到云端并不是執(zhí)行盡職調(diào)查的靈丹妙藥。

4.應用安全

應用程序安全（AppSec），尤其是Web應用程序安全已經(jīng)成為最薄弱的攻擊技術點，但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應用程序安全應該從安全編碼實踐開始，并通過模糊和滲透測試來增強。

應用程序的快速開發(fā)和部署到云端使得DevOps作為一門新興學科應運而生。DevOps團隊通常將業(yè)務需求置于安全之上，考慮到威脅的擴散，這個關注點可能會發(fā)生變化。

5.物聯(lián)網(wǎng)（IoT）安全

物聯(lián)網(wǎng)指的是各種關鍵和非關鍵的物理網(wǎng)絡系統(tǒng)，例如家用電器、傳感器、打印機以及安全攝像頭等。物聯(lián)網(wǎng)設備經(jīng)常處于不安全的狀態(tài)，且?guī)缀醪惶峁┌踩a丁，這樣一來不僅會威脅到用戶，還會威脅到互聯(lián)網(wǎng)上的其他人，因為這些設備經(jīng)常會被惡意行為者用來構建僵尸網(wǎng)絡。這為家庭用戶和社會帶來了獨特的安全挑戰(zhàn)。

三、網(wǎng)絡威脅類型

常見的網(wǎng)絡威脅主要包括以下三類：

1.保密性攻擊

很多網(wǎng)絡攻擊都是從竊取或復制目標的個人信息開始的，包括各種各樣的犯罪攻擊活動，如信用卡欺詐、身份盜竊、或盜取比特幣錢包。國家間諜也將保密性攻擊作為其工作的重要部分，試圖獲取政治、軍事或經(jīng)濟利益方面的機密信息。

2.完整性攻擊

一般來說，完整性攻擊是為了破壞、損壞、摧毀信息或系統(tǒng)，以及依賴這些信息或系統(tǒng)的人。完整性攻擊可以是微妙的———小范圍的篡改和破壞，也可以是災難性的———大規(guī)模的對目標進行破壞。攻擊者的范圍可以從腳本小子到國家間諜組織。

3.可用性攻擊

阻止目標訪問數(shù)據(jù)是如今勒索軟件和拒絕服務（DoS）攻擊最常見的形式。勒索軟件一般會加密目標設備的數(shù)據(jù)，并索要贖金進行解密。拒絕服務（DoS）攻擊（通常以分布式拒絕服務攻擊的形式）向目標發(fā)送大量的請求占用網(wǎng)絡資源，使網(wǎng)絡資源不可用。

四、這些攻擊的實現(xiàn)方式

1.社會工程學

如果攻擊者能夠直接從人類身上找到入口，就不能大費周章地入侵計算機設備了。社會工程惡意軟件通常用于傳播勒索軟件，是排名第一的攻擊手段（而不是緩沖區(qū)溢出、配置錯誤或高級漏洞利用）。通過社會工程手段能夠誘騙最終用戶運行木馬程序，這些程序通常來自他們信任的和經(jīng)常訪問的網(wǎng)站。持續(xù)的用戶安全意識培訓是對抗此類攻擊的最佳措施。

2.網(wǎng)絡釣魚攻擊

有時候盜取別人密碼最好的方法就是誘騙他們自己提供，這主要取決于網(wǎng)絡釣魚攻擊的成功實踐。即便是在安全方面訓練有素的聰明用戶也可能遭受網(wǎng)絡釣魚攻擊。這就是雙因素身份認證（2FA）成為最佳防護措施的原因———如果沒有第二個因素（如硬件安全令牌或用戶手機上的軟件令牌認證程序），那么盜取到的密碼對攻擊者而言將毫無意義。

3.未修復的軟件

如果攻擊者對你發(fā)起零日漏洞攻擊，你可能很難去責怪企業(yè)，但是，如果企業(yè)沒有安裝補丁就好比其沒有執(zhí)行盡職調(diào)查。如果漏洞已經(jīng)披露了幾個月甚至幾年的時間，而企業(yè)仍舊沒有安裝安全補丁程序，那么就難免會被指控疏忽。所以，記得補丁、補丁、補丁，重要的事說三遍！

4.社交媒體威脅

“Catfishing”一詞一般指在網(wǎng)絡環(huán)境中對自己的情況有所隱瞞，通過精心編造一個優(yōu)質(zhì)的網(wǎng)絡身份，目的是為了給他人留下深刻印象，尤其是為了吸引某人與其發(fā)展戀愛關系。不過，Catfishing可不只適用于約會場景?？尚诺摹榜R甲”賬戶能夠通過你的LinkedIn網(wǎng)絡傳播蠕蟲。如果有人非常了解你的職業(yè)聯(lián)系方式，并發(fā)起與你工作有關的談話，您會覺得奇怪嗎？正所謂“口風不嚴戰(zhàn)艦沉”，希望無論是企業(yè)還是國家都應該加強重視社會媒體間諜活動。

5.高級持續(xù)性威脅（APT）

國家間諜可不只存在于國家以及政府組織之間，企業(yè)中也存在此類攻擊者。所以，如果有多個APT攻擊在你的公司網(wǎng)絡上玩起“捉迷藏”的游戲，請不要感到驚訝。如果貴公司從事的是對任何人或任何地區(qū)具有持久利益的業(yè)務，那么您就需要考慮自己公司的安全狀況，以及如何應對復雜的APT攻擊了。在科技領域，這種情況尤為顯著，這個充斥著各種寶貴知識產(chǎn)權的行業(yè)一直令很多犯罪分子和國家間諜垂涎欲滴。

五、網(wǎng)絡安全職業(yè)

執(zhí)行強大的網(wǎng)絡安全戰(zhàn)略還需要有合適的人選。對于專業(yè)網(wǎng)絡安全人員的需求從未像現(xiàn)在這樣高過，包括C級管理人員和一線安全工程師。雖然公司對于數(shù)據(jù)保護意識的提升，安全部門領導人已經(jīng)開始躋身C級管理層和董事會?，F(xiàn)在，首席安全官（CSO）或首席信息安全官（CISO）已經(jīng)成為任何正規(guī)組織都必須具備的核心管理職位。

此外，角色也變得更加專業(yè)化。通用安全分析師的時代正在走向衰落。如今，滲透測試人員可能會將重點放在應用程序安全、網(wǎng)絡安全或是強化網(wǎng)絡釣魚用戶的安全防范意識等方面。事件響應也開始普及全天制（7×24 h）。以下是安全團隊中的一些基本角色：

1.首席信息安全官/首席安全官

首席信息安全官是C級管理人員，負責監(jiān)督一個組織的IT安全部門和其他相關人員的操作行為。此外，首席信息安全官還負責指導和管理戰(zhàn)略、運營以及預算，以確保組織的信息資產(chǎn)安全。

2.安全分析師

安全分析師也被稱為網(wǎng)絡安全分析師、數(shù)據(jù)安全分析師、信息系統(tǒng)安全分析師或IT安全分析師。這一角色通常具有以下職責：

計劃、實施和升級安全措施和控制措施；

保護數(shù)字文件和信息系統(tǒng)免受未經(jīng)授權的訪問、修改或破壞；

維護數(shù)據(jù)和監(jiān)控安全訪問；

執(zhí)行內(nèi)/外部安全審計；

管理網(wǎng)絡、入侵檢測和防護系統(tǒng)；分析安全違規(guī)行為以確定其實現(xiàn)原理及根本原因；

定義、實施和維護企業(yè)安全策略；

與外部廠商協(xié)調(diào)安全計劃；

3.安全架構師

一個好的信息安全架構師需要能夠跨越業(yè)務和技術領域。雖然該角色在行業(yè)細節(jié)上會有所不同，但它也是一位高級職位，主要負責計劃、分析、設計、配置、測試、實施、維護和支持組織的計算機和網(wǎng)絡安全基礎設施。這就需要安全架構師能夠全面了解企業(yè)的業(yè)務，及其技術和信息需求。

4.安全工程師

安全工程師的工作是保護公司資產(chǎn)免受威脅的第一線。這項工作需要具備強大的技術、組織和溝通能力。IT安全工程師是一個相對較新的職位，其重點在于IT基礎設施中的質(zhì)量控制。這包括設計、構建和防護可擴展的、安全和強大的系統(tǒng)；運營數(shù)據(jù)中心系統(tǒng)和網(wǎng)絡；幫助組織了解先進的網(wǎng)絡威脅；并幫助企業(yè)制定網(wǎng)絡安全戰(zhàn)略來保護這些網(wǎng)絡。