最近被入侵的大企业有个长长的名单：塔吉特、家得宝、史泰博(Staples)、迈克尔斯(Michaels，美国工艺品零售商)、凯马特(Kmart，美国超市连锁)、eBay、安腾(Anthem，美国医疗保险公司)、索尼娱乐影业……但这些也只是冰山一角。

 

虽然很多企业都在对预防性安全措施加大投入，但还是在对抗网络罪犯的战争中处于下风。虽然有很多机构使用了美国国家标准术研究所(NIST)和其它标准化机构开发的应对策略，但我们仍未找到解决网络安全威胁的最佳方法。

普华永道发布的调研报告(《在互联世界中控制网络风险》，2015)在2014年跟踪了9700家公司，并发现了近430万起安全事件，该数字自2009年以来以年平均增长66%的速度稳步提升。大家不禁开始怀疑针对网络安全方面的投入是否有效。

一方面董事会寻求得到整个企业所受安全威胁的定量数据，而另一方面企业里的业务部门却深受各种网络攻击之苦。企业和监管者都迫切地想要知道如何报道和平息数据泄露和网络攻击事件，如何将安全威胁最小化。我们可以从以下四个基本层面来考虑安全防御策略：

1、持续监控大多数机构都基于发射井式工具来采集安全数据，比如数据欺骗与丢失防护、漏洞管理、SIEM。这导致待分析数据的流量、强度、复杂度都非常高。不幸的是，我们只能通过手动过程来检查大量的日志文件，这导致很多重大漏洞并不能在第一时间发现。

使用NIST提供的持续性检测策略只会让数据安全问题更加突出，因为它只是增加了扫描频率和堆积的日志数据量。大数据集可以把特定的行为进行归类，不过还有一些需要克服的技术挑战。大数据风险管理软件可以帮助组织聚集不同的数据源，从而降低成本。通过统一的解决方案，简化流程，创造情景感知模型以及时发现漏洞与威胁。它还可以收集历史趋势数据，帮助预测安全趋势。

2、安全威胁视觉化对机构而言，检测实时威胁的最有效方法之一就是利用视觉演示，将公司的网络架构及相关风险陈列出来。该方法为安全人员提供了一些交互式视角，它可以呈现诸如系统和组件之间、系统与系统之间、组件与组件之间的关系。最重要的是，它可以使安全人员通过查看受影响的系统和组件情况，快速分辨相关威胁的严重程度。这使得各机构可以专注于解决高风险业务模块，增加管理透明度。

3、基于风险的优先级排序为了领先攻击者一步，对漏洞和安全事件进行优先级排序是很重要的。安全监控产生了大数据，但未经分类组织的大数据没有利用价值。更重要的是，信息安全决策应该基于对数据的观察，对其进行优先级排序和可行性分析之后再进行行动。没有基于风险的排序，机构可能将宝贵的资源浪费在那些并不重要的安全事件上。

进一步讲，安全相关的大数据需要基于责任人和处理者的需求进行严格的分类。面对大数据的时候，不同的部门可能有着不同的需求。

4、闭环修复最近，各机构的主题专家开始使用基于风险的闭环修复策略，以进行风险分类和风险可承受评估。这一过程需要资产分类，以定义业务危险危险程度;另外，它还使用基于风险的优先级排序以及闭环跟踪测量评估策略。

通过对现存资产、人员、过程、潜在风险、可能威胁进行组织并建立持续检查回路，各机构可以显著提升业务部门、安全部门、IT部门三者的协同行动效率。这使得对安全措施变得有形化，从而可以评估。

关注这四块网络安全的基石，各机构不仅可以满足董事会对安全定量报告的需求，还可以帮助业务部门消除网络攻击的风险。这套方法论还有助于对攻击产生的破坏进行实时修复，增进公司威胁的可见性。

CS论坛

关注网络空间安全(Cyber Security)，解读趋势前瞻，聚焦管理策略、体系指引，为企业、机构安全规划与实施提供咨询建议。

(责任编辑：安博涛)