1.數(shù)據(jù)采集.數(shù)據(jù)是現(xiàn)代安全運(yùn)營中心的生命線，分析和算法離不開數(shù)據(jù)。

2.威脅檢測。安全運(yùn)營中心需要能夠結(jié)合多種技術(shù)，比如關(guān)聯(lián)規(guī)則、機(jī)器學(xué)習(xí)和數(shù)據(jù)分析，實(shí)現(xiàn)更好的安全事件檢測能力。

3.風(fēng)險(xiǎn)預(yù)警。預(yù)測安全事件的能力可以讓安全運(yùn)營中心主動(dòng)將事件上報(bào)給人員，或通過預(yù)定義的流程簡化響應(yīng)。

4.自動(dòng)化運(yùn)營。自動(dòng)化是幫助安全分析師的新技術(shù)之一，通過自動(dòng)化功能，使安全運(yùn)營中心高效快捷處理工作。

5.能力編排。編排所有產(chǎn)品的能力可以消除開銷、減少了挫折感，并幫助安全分析師將精力集中在重要任務(wù)上。

6.知識(shí)庫積累。通過知識(shí)庫積累，能夠建議下一步具體的行動(dòng)或戰(zhàn)略手冊。

7.團(tuán)隊(duì)合作。安全是一項(xiàng)需要協(xié)調(diào)、溝通和協(xié)作的團(tuán)隊(duì)工作。

8.案例管理。當(dāng)安全事故發(fā)生后，安全團(tuán)隊(duì)需要確保自己有響應(yīng)計(jì)劃、工作流程、證據(jù)收集、溝通等。

9.報(bào)告展現(xiàn)。擁有合適的報(bào)告工具可以幫助安全團(tuán)隊(duì)了解正在執(zhí)行的操作，并能夠準(zhǔn)確地衡量現(xiàn)狀和需要實(shí)現(xiàn)的目標(biāo)。

精心設(shè)計(jì)、精心維護(hù)且人員配備齊全的安全運(yùn)營中心已經(jīng)成為現(xiàn)代企業(yè)組織必須依靠的安全防線，它是一個(gè)進(jìn)行集中安全運(yùn)維的地方，安全團(tuán)隊(duì)通常全天候不間斷地監(jiān)控、檢測、分析和響應(yīng)網(wǎng)絡(luò)安全事件。企業(yè)組織要確保網(wǎng)絡(luò)安全，不妨認(rèn)真審視一下自己的安全運(yùn)營中心。

安全信息事件管理(SIEM)系統(tǒng)的應(yīng)用已經(jīng)超過20年，但隨著網(wǎng)絡(luò)攻擊變得越來越隱秘、手段越來越復(fù)雜、影響越來越大，SIEM也需不斷升級(jí)演進(jìn)。

挑戰(zhàn)一：原始數(shù)據(jù)量多，噪音太大。當(dāng)今，SIEM技術(shù)已跟不上安全團(tuán)隊(duì)收集和生成的海量數(shù)據(jù)。它不僅會(huì)錯(cuò)過大量的安全威脅，而且還會(huì)產(chǎn)生較多誤報(bào)，因此需要實(shí)現(xiàn)數(shù)據(jù)自動(dòng)化處理，以消除“誤報(bào)”。

挑戰(zhàn)二：過時(shí)的、基于規(guī)則的識(shí)別技術(shù)。試圖使用簡單的、基于規(guī)則的技術(shù)來有效地進(jìn)行威脅檢測目前已經(jīng)行不通，因此需要基于人工智能技術(shù)實(shí)現(xiàn)人工智能技術(shù)。

挑戰(zhàn)三：弱檢測，無響應(yīng)。SIEM一直存在“弱檢測，無響應(yīng)”的問題，但有效的警報(bào)分類需要檢測和響應(yīng)之間相互作用。由此需要將檢測和響應(yīng)由一個(gè)平臺(tái)自動(dòng)化實(shí)現(xiàn)。

挑戰(zhàn)四：SIEM系統(tǒng)不會(huì)“學(xué)習(xí)”。大多數(shù)情況下，SIEM不會(huì)機(jī)器學(xué)習(xí)或很少使用機(jī)器學(xué)習(xí)算法，這不利于高效安全運(yùn)營工作的開展。由此需要在機(jī)器學(xué)習(xí)技術(shù)的幫助下，更有效地檢測、分析和響應(yīng)海量數(shù)據(jù)。

傳統(tǒng)SIEM系統(tǒng)由于存在難以實(shí)現(xiàn)精準(zhǔn)告警、漏報(bào)較為嚴(yán)重等問題，已不是企業(yè)安全運(yùn)營管理的理想選擇，但這并不意味著需要淘汰它。作為企業(yè)內(nèi)部安全日志的匯聚器，SIEM的基本功能或許永遠(yuǎn)不會(huì)過時(shí)，因?yàn)楸镜匕踩罩臼冀K是最具價(jià)值的威脅情報(bào)來源。但安全團(tuán)隊(duì)需要盡快升級(jí)優(yōu)化SIEM，配合更多的威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報(bào)分析以及流程自動(dòng)化/編排等先進(jìn)安全能力，以實(shí)現(xiàn)更加高效、準(zhǔn)確的發(fā)現(xiàn)、檢測和響應(yīng)安全威脅。

Skybox安全研究實(shí)驗(yàn)室在2021年公布了20175個(gè)新漏洞。新漏洞數(shù)量的創(chuàng)紀(jì)錄增長。數(shù)據(jù)顯示，運(yùn)營技術(shù)(OT)漏洞在2021年增加了88%，這些漏洞用于攻擊關(guān)鍵基礎(chǔ)設(shè)施，并使重要系統(tǒng)面臨潛在的破壞。運(yùn)營技術(shù)系統(tǒng)支持能源、水、交通、環(huán)境控制系統(tǒng)和其他基本設(shè)備。對這些重要資產(chǎn)的網(wǎng)絡(luò)攻擊可能造成嚴(yán)重的經(jīng)濟(jì)損失，甚至危及公共健康和安全。隨著2021年新漏洞的出現(xiàn)，威脅行為者立即利用它們。2021年發(fā)布的168個(gè)漏洞在12個(gè)月內(nèi)被迅速利用，這比2020年發(fā)布并隨后被利用的漏洞數(shù)量多出24%。換句話說，威脅行為者和惡意軟件開發(fā)人員將最近出現(xiàn)的漏洞武器化。這讓安全團(tuán)隊(duì)陷入困境，縮短了從最初發(fā)現(xiàn)漏洞到出現(xiàn)針對漏洞的主動(dòng)攻擊之間的時(shí)間。修復(fù)已知漏洞的窗口越來越小，這意味著主動(dòng)性漏洞管理方法比以往任何時(shí)候都更為重要。此外，針對已知漏洞的新加密劫持程序同比增長75%，勒索軟件增長了42%。這為經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)罪犯和缺乏經(jīng)驗(yàn)的新手提供一系列工具和服務(wù)。

為了通用風(fēng)險(xiǎn)語言實(shí)現(xiàn)標(biāo)準(zhǔn)化，安全團(tuán)隊(duì)需要一個(gè)客觀的框架來衡量任何給定漏洞對其企業(yè)構(gòu)成的實(shí)際風(fēng)險(xiǎn)。為了防止發(fā)生網(wǎng)絡(luò)安全事件，對可能導(dǎo)致最嚴(yán)重破壞的暴露漏洞進(jìn)行優(yōu)先排序至關(guān)重要。為了通用風(fēng)險(xiǎn)語言實(shí)現(xiàn)標(biāo)準(zhǔn)化，安全團(tuán)隊(duì)需要一個(gè)客觀的框架來衡量任何給定漏洞對其企業(yè)構(gòu)成的實(shí)際風(fēng)險(xiǎn)。然后應(yīng)用適當(dāng)?shù)难a(bǔ)救選項(xiàng)，包括配置更改或網(wǎng)絡(luò)分段，以消除風(fēng)險(xiǎn)。

企業(yè)使用云計(jì)算服務(wù)已經(jīng)有了幾十年的歷史，云計(jì)算已經(jīng)成為我們應(yīng)用程序、基礎(chǔ)設(shè)施和數(shù)據(jù)的安全門戶。針對面臨的風(fēng)險(xiǎn)和相應(yīng)的應(yīng)對措施分別是：

1)責(zé)任和數(shù)據(jù)風(fēng)險(xiǎn)。用戶需要確保有一個(gè)完全透明的協(xié)議和安全策略，以確保第三方服務(wù)提供商將符合標(biāo)準(zhǔn)來保護(hù)其數(shù)據(jù)。

2)用戶身份聯(lián)合。企業(yè)需要使用某些工具來強(qiáng)制執(zhí)行密碼或軟件的安全標(biāo)準(zhǔn)。

3)法規(guī)遵從性。服務(wù)提供商需要確保他們將遵守有關(guān)存儲(chǔ)數(shù)據(jù)的監(jiān)管規(guī)則。

4)業(yè)務(wù)連續(xù)性和彈性。企業(yè)確保在任何停機(jī)情況下都有服務(wù)水平協(xié)議以及災(zāi)難恢復(fù)計(jì)劃。

5)用戶隱私和數(shù)據(jù)的二次使用。通過MFA或加密，以及制定用戶隱私和數(shù)據(jù)應(yīng)該如何使用的政策。

6)服務(wù)和數(shù)據(jù)集成。企業(yè)需要確保云提供商使用安全套接字層和最新的傳輸安全協(xié)議。

7)多租戶和物理安全。云服務(wù)提供商需要設(shè)置具有邏輯隔離的服務(wù)器，確保每個(gè)企業(yè)的基礎(chǔ)設(shè)施是隔離的。

8)發(fā)生率分析和取證。企業(yè)需要了解云服務(wù)提供商如何存儲(chǔ)和處理事件日志。

云計(jì)算讓我們有機(jī)會(huì)遠(yuǎn)程使用所需的所有服務(wù)，并安全地訪問數(shù)據(jù)。然而，云服務(wù)提供商也有被泄露的風(fēng)險(xiǎn)，并導(dǎo)致他們的客戶數(shù)據(jù)暴露。為了保護(hù)自己免受潛在威脅，我們需要意識(shí)到安全風(fēng)險(xiǎn)。因此，如果企業(yè)在與供應(yīng)商聯(lián)系時(shí)，考慮到這些潛在的風(fēng)險(xiǎn)，并制定相應(yīng)的措施，必然能夠?yàn)槠髽I(yè)的運(yùn)營創(chuàng)造更好的安全環(huán)境。

隨著數(shù)字經(jīng)濟(jì)的快速發(fā)展，傳統(tǒng)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變，這改變了應(yīng)用資源的訪問方式，也帶來了核心數(shù)據(jù)被攻擊導(dǎo)致泄露的安全風(fēng)險(xiǎn).

零信任代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念，它的關(guān)鍵在于打破默認(rèn)的“信任”，其核心理念是“持續(xù)驗(yàn)證，永不信任”。與傳統(tǒng)數(shù)據(jù)安全方案相比，基于零信任的數(shù)據(jù)不落地方案在確保第三方人員數(shù)據(jù)共享使用的同時(shí)，通過數(shù)據(jù)資源隔離、細(xì)粒度授權(quán)控制、數(shù)據(jù)審批、多維審計(jì)等機(jī)制，將數(shù)據(jù)的共享和流轉(zhuǎn)進(jìn)行控制，實(shí)現(xiàn)數(shù)據(jù)所有權(quán)和使用權(quán)分離。整個(gè)體系依據(jù)等保2.0和《數(shù)據(jù)安全法》等要求，設(shè)計(jì)并構(gòu)建覆蓋數(shù)據(jù)訪問安全、數(shù)據(jù)交換與傳輸安全、訪問控制、數(shù)據(jù)使用申請與管理的一站式數(shù)據(jù)安全管控方案;基于零信任安全理念，將數(shù)據(jù)使用權(quán)和數(shù)據(jù)所有權(quán)分離，構(gòu)建虛擬隔離的數(shù)據(jù)資源安全邊界，防止數(shù)據(jù)泄露、數(shù)據(jù)篡改等事件發(fā)生，打造零信任架構(gòu)下的新一代數(shù)據(jù)安全管控和隔離方案，實(shí)現(xiàn)數(shù)據(jù)傳輸、使用、共享安全。

將零信任架構(gòu)引入到數(shù)據(jù)安全防護(hù)體系中，可以將動(dòng)態(tài)訪問控制、最小化授權(quán)、網(wǎng)絡(luò)隱身等與數(shù)據(jù)不落地技術(shù)有機(jī)結(jié)合起來，讓數(shù)據(jù)隔離和統(tǒng)一管控變得簡單。數(shù)據(jù)的訪問用戶無法直接接觸到目標(biāo)數(shù)據(jù)資源，僅可以通過受控的“安全盤”訪問虛擬的投影目標(biāo)。此種解決方案可應(yīng)用于各類數(shù)據(jù)開放、共享交換等業(yè)務(wù)場景，滿足數(shù)據(jù)不落地、防勒索病毒、遠(yuǎn)程瀏覽器隔離(RBI)等安全需求。

趨勢1：受攻擊面擴(kuò)大。信息物理系統(tǒng)和物聯(lián)網(wǎng)的使用、開源代碼、云應(yīng)用、復(fù)雜的數(shù)字供應(yīng)鏈、社交媒體等引發(fā)的風(fēng)險(xiǎn)使企業(yè)暴露出的受攻擊面超出了其可控資產(chǎn)的范圍。

趨勢2：數(shù)字供應(yīng)鏈風(fēng)險(xiǎn)。Gartner預(yù)測，到2025年全球45%的企業(yè)機(jī)構(gòu)將遭受軟件供應(yīng)鏈攻擊，相比2021年增加3倍。

趨勢3：身份威脅檢測和響應(yīng)。攻擊者正在瞄準(zhǔn)針對身份和訪問管理基礎(chǔ)設(shè)施，通過憑證濫用發(fā)起攻擊。

趨勢4：分布式?jīng)Q策。為了滿足數(shù)字業(yè)務(wù)的范圍、規(guī)模和復(fù)雜性，需要將網(wǎng)絡(luò)安全決策、責(zé)任和問責(zé)制度分散到整個(gè)企業(yè)，避免職能的集中化。

趨勢5：超越安全意識(shí)培訓(xùn)。企業(yè)機(jī)構(gòu)正在投資于整體安全行為和文化計(jì)劃(SBCP)，取代過時(shí)的以合規(guī)為中心的安全意識(shí)宣傳活動(dòng)。

趨勢6：廠商整合。擴(kuò)展檢測和響應(yīng)、安全服務(wù)邊緣和云原生應(yīng)用保護(hù)平臺(tái)等新的平臺(tái)策略正在加速釋放融合解決方案的效益。

趨勢7：網(wǎng)絡(luò)安全網(wǎng)格。網(wǎng)絡(luò)安全網(wǎng)格架構(gòu)有助于提供一個(gè)通用的集成式安全架構(gòu)和態(tài)勢來保證所有本地、數(shù)據(jù)中心和云端資產(chǎn)的安全。

Gartner發(fā)布的主要網(wǎng)絡(luò)安全趨勢并非孤立存在，而是相互依存和加強(qiáng)。安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者需要應(yīng)對七大趨勢，才能保護(hù)企業(yè)不斷擴(kuò)張的數(shù)字足跡免受2022年及以后新威脅的影響。并且它們將共同幫助首席信息安全官推動(dòng)自身角色的演變，從而應(yīng)對未來的安全和風(fēng)險(xiǎn)管理挑戰(zhàn)，并繼續(xù)提升他們在企業(yè)機(jī)構(gòu)中的地位。

近年來隨著網(wǎng)絡(luò)安全政策、技術(shù)的不斷發(fā)展，員工安全意識(shí)薄弱已經(jīng)成為企業(yè)面臨的最大風(fēng)險(xiǎn)。提高員工安全意識(shí)，做好安全教育工作刻不容緩。結(jié)合國內(nèi)外安全意識(shí)提升的資料來看，不難發(fā)現(xiàn)安全意識(shí)的提升主要從兩個(gè)方面進(jìn)行：安全培訓(xùn)和模擬演習(xí)。以下就如何做好安全培訓(xùn)和模擬演習(xí)需要關(guān)注的多項(xiàng)指標(biāo)進(jìn)行敘述。

1.安全培訓(xùn)關(guān)鍵指標(biāo)。大多數(shù)的企業(yè)均在安全方面都做過或多或少的培訓(xùn)工作，來確保發(fā)生安全事件人員有足夠的能力和應(yīng)急措施去應(yīng)對。但是為什么在這么多工作的前提下，員工在遇到真實(shí)的釣魚攻擊還是會(huì)大片的淪陷?這是因?yàn)閱T工沒有養(yǎng)成防釣魚的潛意識(shí)以及不同場景下的思考決策能力。綜合學(xué)習(xí)整理國外兩大安全意識(shí)培訓(xùn)公司的方案，給出以下三大指標(biāo)：1）課程完成率；2）知識(shí)吸收轉(zhuǎn)換率；3）非測試期間活動(dòng)檢測率。

2. 網(wǎng)絡(luò)釣魚演練關(guān)鍵指標(biāo)。除去安全培訓(xùn)，最直接檢測員工安全意識(shí)的辦法就是進(jìn)行模擬釣魚演練。通過打開率、點(diǎn)擊率、上報(bào)率和彈性系數(shù)等四項(xiàng)指標(biāo)，他們從不同維度和場景體現(xiàn)出了實(shí)施者的技術(shù)、員工的安全意識(shí)、組織的安全建設(shè)完善程度。

在眾多的安全防御手段中，通過網(wǎng)絡(luò)釣魚演習(xí)提高員工安全意識(shí)和釣魚郵件識(shí)別能力，是在當(dāng)前防御愈演愈烈的網(wǎng)絡(luò)安全形勢下，最經(jīng)濟(jì)的一種防御手段。因此未來企業(yè)安全建設(shè)工作中，要做到有效提升員工安全意識(shí)，就需要做到網(wǎng)絡(luò)釣魚演習(xí)標(biāo)準(zhǔn)化、指標(biāo)化，員工安全意識(shí)可度量。