“主动安全战略”的优势是什么？能给企业带来哪些好处？

长期以来，CISO一直肩负着建立响应和恢复能力的职责，其目标是让团队能够尽快对安全事件做出反应，并尽可能地减少对业务、对业务恢复能力的影响。

这些被动防御不会消失，但许多安全主管正在寻求更积极的措施来面对接下去可能越来越糟的网络环境，这是一种平衡主动和被动的策略。

专业it治理协会ISACA新兴趋势工作组成员皮埃尔·马丁·塔迪夫表示：“从积极主动的角度来看，我们是在预测企业环境中可能会发生怎么样的攻击，并希望在其他人发现之前尽早找到自己的漏洞，这是降低风险的手段，先预测，然后再尽可能地完善。”

根据塔迪夫和其他专家的说法，积极主动的安全策略比大部分“在检测到攻击或入侵后才快速响应”的能力要重要得多，因为主动安全策略更能确保组织的弹性。

ISACA新兴趋势工作组的另一名成员桑德拉·阿吉莫托金（Sandra Ajimotokin）表示：“作为一名网络安全从业人员，我们的最终目标是保护我们的资产，因此防止漏洞被利用，防止风险突发，这对我们来说是最重要的，而主动预防计划在这方面非常适用。”

那么，到底该如何执行主动安全策略呢？国外安全专家如此建议。

01做好资产梳理

为了建立积极主动的网络安全策略，多个消息来源指出，CISO首先需要了解企业拥有多少资产，知道什么资产需要最高级的保护，并同时需要明确企业至多能接受多大的风险，领导层对风险的承受度是多少。这些问题有助于CISO确定哪些威胁需要最先处理，而哪些威胁又需要额外关注。

阿吉莫托金解释道：“一个积极主动的安全团队若能了解其所在企业的资产和风险状况，就能够识别出企业里潜在的风险，这是防止安全事件发生的关键组成部分，因为知己知彼百战百胜，他们了解了需要保护的资产，就能通过这些资产考虑其易受攻击的地方。”

开利环球公司（Carrier Global Corp.）首席产品安全官约翰·德斯库拉基斯（John Deskurakis）对此表示赞同，并补充道，CISO需要持续进行这样的工作，这叫做“持续识别”，即不断巩固对企业资产和风险状况的认知。

“知道你的防御对象是什么，以及为什么要去防御，同时了解所有相关的风险，并持续跟踪，甚至把自己的视角转换为攻击方，研究如何打穿自己公司的安全防护，这样你就永远能领先于被动安全策略。”

俗话说，与其等待攻击，不如自己进行黑客模拟。因此，若只通过安全部门来参考攻击视角或许不够，可以通过外界经过认证的道德黑客来进行配合，寻找企业的漏洞和防御弱点。这些模拟攻击的安全研究人员会使用与恶意攻击者相同的方法和工具，在红队/蓝队演习、渗透测试和其他模拟对抗时，“传授”企业员工网络攻击的相关经验。

02拥有强大的身份安全措施

网络安全咨询公司TCE Strategy的首席执行官布莱斯·奥斯汀（Bryce Austin）表示，主动式安全团队不仅对其IT环境和组织的风险状况有较好的认识，而且还具备强大的身份安全管控措施，可以清晰地了解到有哪些用户、哪些设备正在访问其网络及相关业务系统。多因素身份验证等策略有助于确保只有授权用户才能进入企业IT环境，并将所有其他用户拒之门外。

塔迪夫指出，许多CISO正在实施严格的身份验证要求，这也是他们向零信任架构转变的一部分，在这种架构中，所有用户（包括人和设备）在获得访问权之前必须验证自己的身份。零信任比这更进一步：它另外限制已验证身份的用户只能访问他们工作所需的那些系统和数据。遵循这种最小权限原则将是安全团队由被动响应事件转向主动安全防御的一个标志。

零信任力求验证和授权尝试访问每个资源的每个设备、应用程序和用户。对于攻击者来说，即使他们可以窃取密码，仍然会发现这道“安全之门”是锁着的，因为他们没有授权设备。这种通过零信任模型主动锁定门的方法是很重要的，因为许多远程工作人员使用家庭办公室，他们在物理安全未知的空间和质量未知的网络中使用设备，而零信任模型是动态的，其能要求在持续主动的基础上进行监控、学习和适应，让攻击者无计可施。

03提升快速应变能力

让防御措施启动在黑客发起攻击前的另一个关键，是安全团队应具有比攻击者更快速的应变能力。

为此，德斯库拉基斯表示：“积极主动的安全团队需要采用以攻击为中心的思维，避免那些按部就班的公式化安全能力建设，得不断完善实战化安全能力构建，学会从攻击者的角度思考问题。网络攻击没有标准模式，因此可靠的主动防御能力也是需要随机应变的，这样才可以应对层出不穷的威胁。”

管理咨询公司Protiviti的CISO安德鲁·雷特姆（Andrew Retru

m）对此表示赞同，他引用了一条关于冰球的真理，即将冰球推向其要到达地方的边缘，无限接近中心，但不是其中心本身。“因为你的对手会想着如何推开你，你得从他们的角度思考问题。”

04专注于未来

同样，积极主动的CISO也会关注新兴工具、技术和法规，在这些内容成为主流或被要求强制性前，提早将它们纳入自己的战略和安全计划。

雷特姆指出，比如几年前，当纽约金融服务部（New York Department of Financial Services）要发布新的网络安全要求时，一位CISO与他的公司就此事进行了洽谈主动防御技术，这位CISO懂得先发制人，这样他就可以向其他领导层提出建议，并确保这些高层知道接下来会发生什么。

雷特姆表示，也有其他CISO在关注自己的企业或关注大环境变化时采取过这种方法，这种方法可以让他们的安全部门在环境变化之前做好准备。比如雷特姆所认识的CISO里，已经有人在考虑量子计算的崛起将如何影响企业的安全计划，当前哪些安全措施将变得无效，并确定企业将使用哪些保护措施更有效。

“主动安全策略需要考虑接下去的趋势，即考虑任何可能会发生的安全事件，许多CISO很聪明，他们正在制定未来三到五年的路线图。还是那句话，展望未来，了解未来，这是一种良好的习惯。”

05注意商标和域名

信息技术研究集团的首席研究顾问卡洛斯·里维拉表示，采用主动安全策略的团队会寻找滥用其域名、公司商标和其他标识符的人。“他们会对那些非法使用品牌的人进行反击。”

积极主动的安全策略需要对信息化运营的各种关键参数进行持续性的监测，及时发现可疑的行为和活动。安全团队可以使用SaaS化的安全工具，或与托管安全服务商共同完成系统运营监测工作。这种监测可以让安全团队及早留意各种威胁：黑客企图利用被欺骗的网站、被劫持的公司商标及其他形式的社会工程攻击，从而使安全团队有时间采取对策，最大程度遏制这些攻击企图。

06搜寻威胁同样重要

当攻击者试图通过公司网络、公司系统谋取巨额利益时，他们经常会混淆自己的活动。比如在IBM的《2022年数据泄露成本报告》中显示，各组织平均需要207天才能发现数据泄露。

这种延迟的身份识别是长期存在的问题，常会使安全团队陷入被动模式。为了应对这种情况，安全团队需要更多地转向威胁搜寻，以在发生安全事件或其他攻击之前发现潜伏在其环境中的攻击者。

非营利培训和认证组织（ISC）?的CISO Jon France解释道：“主动安全策略可以通过邀请外界进行威胁搜寻以帮助企业面对安全风险。对企业来说，外界的表现可以从技术角度（攻击途径）和漏洞利用者（黑客）这两方面综合参考。”

据SANS 2022年威胁搜寻调查显示，85%的受访企业认为，威胁搜寻改善了其组织的安全状况。与此同时，国外专家表示，使用机器学习和人工智能可以帮助企业安全团队更快速地发现威胁，这个比例有望进一步提高。

阿吉莫托金说：“安全专业人员可得益于ML识别模式和预测结果的能力，这种技术提供了前所未有的可见性。这使得网络安全团队可以迅速扩大规模，尽早识别威胁，并能比以往更快速地对付黑客攻击。”

07未知漏洞搜索刻不容缓

强大的漏洞管理程序可以识别组织中存在哪些已知的漏洞，它会优先修补风险最高的漏洞，这是一个有效安全策略的重要标志。

但France希望安全团队能够更进一步，在他们的计划中加入漏洞搜索。他指出，传统的漏洞管理程序侧重于解决已知问题，而漏洞搜索则能使安全团队发现未知问题，比如非安全的软件代码或自身IT环境特有的错误配置。

France还建议CISO定期进行渗透测试，找出系统中的薄弱环节，制定漏洞披露计划和漏洞奖励，以鼓励员工常常能自主搜索、发现漏洞并解决问题。

08预防演练

France表示，积极主动的安全团队会定期开展实战化的攻防演练，评估攻击得逞后己方会如何响应和应对，这种演练也可以采用沙盘演练的方式。

由于演练会设想并验证攻击是如何发生的，它们可以帮助安全团队识别现有安全计划的不足，然后组织就可以有针对性的缩小差距，阻止设想中的安全事件发生。

攻防演练还有助于发现事件响应方案所存在的不足，并帮助安全团队弥补这些不足。这种演练还可以为团队成员建立“肌肉记忆”，一旦类似事件发生，组织可以更迅速、更高效地行动，从而将破坏、损失降到最低。

09国内安全专家的建议

对于“主动安全策略”有何优势和好处，未来关于安全防范的策略又会有怎样的变化，国内安全专家如此建议。

某金融企业安全专家李泽帮表示，主动安全策略，首先顾名思义，“主动”二字指的是一系列的主动推动安全建设、问题发现、情报收集的工作内容。

主动也可认为是“防患于未然”，相比传统安全防护的等待攻击事件产生，是一种更积极的高层次安全管理思想。当然前提是该安全团队有一定数量的人员，各司其职，才能做到广度与深度都推进的建设。

主动安全策略的优势也很明显：

①资产梳理将成为常态化，消灭影子资产、收缩暴露面、CMDB建设推进。

②威胁情报收集，事件发现更及时，安全左移直接推进到源头。

③安全策略有效性验证，可不定期自主组织攻防演练，同步提升攻与防的能力。

④不再过度依赖安全设备，防护深入到操作系统、中间件、应用层面。

⑤最大的好处莫过于安全人员的个人价值体现，工作数据量化、展示都会非常充分。

结合当前的法律法规，国际时事来看，李泽帮认为，信息化的提升带来的就是网络战。许多甲方公司都要逐步完善自有的安全人员储备，不仅对数量又要求，技能也是一样。但随着安全体系建设的不断完善，非0day的漏洞入侵将不再是主流，而钓鱼攻击重回热点。“我认为受到冷落的邮件安全网关应该也会渐渐纳入到严格要求，成为企业必备。”

李泽帮指出：“设备终究不是彻底解决问题的工具，安全就是对所有的事物都时刻保持“存疑”的心态，落实“人防+技防”，提升员工安全意识，才能更好地防范这类攻击。”

某证券安全专家何文杰认为，主动安全策略可以提升安全态势感知能力，通过系统性安全工作提前识别降低安全威胁，避免陷入忙于应对安全事件，成为救火队。

而在接下去的趋势里，何文杰表示，云原生安全和自适应会成为业内关注的重点。“比如，多云能使请求的数据由离用户最近的数据中心提供，这个概念消除了供应商锁定的担忧；

另一方面，分布式云概念的引入使各种云计算技术可以在具有相同云提供商的单一系统上进行访问，这种受干扰的模型有利于边缘的云处理，具有本地部署的灵活性和优势，等等。”

“至于自适应方面，我们在开发安全运维层面研究了很多年，对于解决安全的问题的本质很有意义，同时在目前来看开发运维慢慢成为了主流，安全要吻合趋势来解决各种安全问题。同时欺骗系统的重要性也被提及出来，但是作为边缘产品，是否能得到甲方的全面认可，还要看市场的反响。”

某大型IT服务集团事业群信息安全负责人朱诚表示，主动安全策略的优势在于三点：

①主动发现比被被动更新策略更加及时。

②主动管理是“提前量”管理，比被动管理这“事后补救”的效果更好。

③对于乙方公司而言，主动管理付出的成本要比被动管理收到甲方处罚的成本低。

至于未来的变化趋势，朱诚也提出了三点：

①主动安全管理策略会增加。

②主动管理和被动治理相结合的模式会变多。

③零信任管理策略会在短期内剧增。

详情请关注安在新媒体—人物、热点、互动、传播，有内涵的信息安全新媒体。

（编辑：晋中站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!