企業(yè)如何知道自己是否已真的準(zhǔn)備好應(yīng)對網(wǎng)絡(luò)攻擊？事實(shí)上，我們可利用網(wǎng)絡(luò)安全準(zhǔn)備目標(biāo)來顯著提高企業(yè)的安全狀態(tài)。下面讓我們看看如何實(shí)現(xiàn)：

網(wǎng)絡(luò)安全計(jì)劃

網(wǎng)絡(luò)安全計(jì)劃通常將風(fēng)險評估中確定的關(guān)鍵信息資產(chǎn)與核心業(yè)務(wù)流程、目標(biāo)和任務(wù)相關(guān)聯(lián)。

在這種情況下，企業(yè)將其客戶信息數(shù)據(jù)庫作為關(guān)鍵信息資產(chǎn)，支持著企業(yè)運(yùn)營。網(wǎng)絡(luò)安全計(jì)劃還將確定安全要求以及做法，以保護(hù)客戶信息數(shù)據(jù)庫以及關(guān)鍵業(yè)務(wù)流程。

信息安全架構(gòu)

信息安全架構(gòu)的基本概念是，如果流入、流出以及流經(jīng)信息網(wǎng)絡(luò)的流量無法被看到，則無法有效監(jiān)控。

在這種情況下，企業(yè)確實(shí)有足夠的網(wǎng)絡(luò)監(jiān)控來檢測攻擊期間流出網(wǎng)絡(luò)的客戶數(shù)據(jù)，而不是在攻擊發(fā)生的幾個月或者幾年后。作為事后分析的一部分，企業(yè)的信息安全架構(gòu)的性能將被評估，并將得出相關(guān)建議進(jìn)行潛在變更?？赡艿淖兏殡娮余]件和其他協(xié)議使用應(yīng)用程序代理服務(wù)、控制數(shù)據(jù)傳輸、構(gòu)建數(shù)據(jù)丟失保護(hù)系統(tǒng)以及改進(jìn)整體網(wǎng)絡(luò)監(jiān)控。

風(fēng)險管理

作為風(fēng)險管理計(jì)劃的一部分，企業(yè)必須首先確定關(guān)鍵信息資產(chǎn)。隨后風(fēng)險管理計(jì)劃可擴(kuò)展到識別關(guān)鍵人員、業(yè)務(wù)流程和技術(shù)。

風(fēng)險管理還要求你了解為什么所選的關(guān)鍵資產(chǎn)對運(yùn)營、任務(wù)完成和業(yè)務(wù)連續(xù)性很重要。這些因素是網(wǎng)絡(luò)安全計(jì)劃的核心要素。

在這種情況下，企業(yè)應(yīng)利用風(fēng)險管理流程的結(jié)果來制定網(wǎng)絡(luò)安全保護(hù)戰(zhàn)略。這樣一來，企業(yè)可發(fā)現(xiàn)釣魚郵件攻擊以及遠(yuǎn)程訪問作為重大風(fēng)險。

身份管理

身份管理是核心安全管理功能，它旨在提高安全性和生產(chǎn)力，同時減少冗余和降低成本。

在這種情況下，企業(yè)應(yīng)審核其身份和訪問管理策略、流程和過程以提高角色定義，防止用戶網(wǎng)絡(luò)登錄憑證訪問關(guān)鍵信息資產(chǎn)，例如客戶信息數(shù)據(jù)庫。此外，雙因素身份驗(yàn)證被認(rèn)為是改善企業(yè)身份管理計(jì)劃的重要組成部分。

授權(quán)和問責(zé)制管理

當(dāng)用戶身份由身份管理系統(tǒng)驗(yàn)證后，則會根據(jù)訪問控制模型以及政策由授權(quán)管理系統(tǒng)來授予用戶訪問權(quán)限。問責(zé)制管理則讓企業(yè)可獲得網(wǎng)絡(luò)資源如何被訪問和使用的完整視圖。

在這種情況下，企業(yè)將會審查其授權(quán)要求，并確保網(wǎng)絡(luò)訪問不意味著完全的管理員訪問。此外，審查將實(shí)施雙因素身份驗(yàn)證，并防止遠(yuǎn)程用戶獲得管理員數(shù)據(jù)庫訪問權(quán)限，還將訪問限制到正常業(yè)務(wù)時間。

網(wǎng)絡(luò)監(jiān)控

網(wǎng)絡(luò)監(jiān)控和流量分析技術(shù)說明，網(wǎng)絡(luò)運(yùn)營商還有空間改進(jìn)其網(wǎng)絡(luò)安全。

了解企業(yè)網(wǎng)絡(luò)實(shí)際如何運(yùn)行、通過已知安全網(wǎng)關(guān)整合流量，并通過各種監(jiān)控工具密切觀察流量，這些都是網(wǎng)絡(luò)安全領(lǐng)域仍然有很大改進(jìn)空間的領(lǐng)域。

在這種情況下，企業(yè)確實(shí)檢測到客戶信息被刪除，但沒有檢測到原始事件向量—網(wǎng)絡(luò)釣魚郵件。作為整體網(wǎng)絡(luò)監(jiān)控審查的一部分，企業(yè)應(yīng)改進(jìn)IP地址過濾、為電子郵件添加應(yīng)用代理，并考慮完整的數(shù)據(jù)丟失保護(hù)系統(tǒng)。

在事故響應(yīng)中SOC的作用

當(dāng)事件相應(yīng)小組最初形成時（第一個電腦安全響應(yīng)小組于1998年創(chuàng)建，現(xiàn)在被稱為CERT），事故響應(yīng)往往是大型企業(yè)和政府機(jī)構(gòu)的獨(dú)立活動。

現(xiàn)在，事故響應(yīng)活動的構(gòu)成發(fā)生了巨大變化。

在20世紀(jì)20年代初，管理和預(yù)算辦公室要求所有美國聯(lián)邦行政機(jī)構(gòu)各自運(yùn)行自己的安全運(yùn)營中心（SOC），并將所有安全警報(bào)發(fā)送到SOC進(jìn)行分析。事實(shí)上，SOC的主要作用已經(jīng)變成事件檢測。

最終，所有自動化安全警報(bào)、用戶報(bào)告、漏洞通知、來自CERT的公告和其他信息都發(fā)送到SOC進(jìn)行分析。隨著SOC成為所有安全相關(guān)報(bào)告和警報(bào)的分類點(diǎn)，它也成為計(jì)算機(jī)安全事故響應(yīng)的前端。

計(jì)算機(jī)安全事故響應(yīng)是一種響應(yīng)服務(wù)，只有當(dāng)檢測到網(wǎng)絡(luò)安全事故時才被激活，并且，它側(cè)重于網(wǎng)絡(luò)安全事故的技術(shù)方面。

另一方面，安全事故管理側(cè)重于業(yè)務(wù)規(guī)劃，旨在保護(hù)核心業(yè)務(wù)功能的連續(xù)性以及支持這些業(yè)務(wù)功能的信息資產(chǎn)。了解業(yè)務(wù)目標(biāo)和流程以及其安全要求以及信息資產(chǎn)，可更好地了解如何保護(hù)業(yè)務(wù)連續(xù)性，并在網(wǎng)絡(luò)安全事故發(fā)生時實(shí)現(xiàn)更有效的事件響應(yīng)。

整合安全事故管理到安全操作中心可提高事件檢測能力以及事故響應(yīng)的有效性，并可幫助企業(yè)整合網(wǎng)絡(luò)安全準(zhǔn)備就緒的所有必要組件。