如何制定网络安全战略

网络威胁形势正在迅速发展，每个企业都面临风险。随着自动化程度的提高和越来越活跃的网络威胁参与者，没有任何组织“太小而不能成为目标”。每家公司都有可能对攻击者有价值的数据，或者如果被勒索软件加密，可能会获取赎金。2021 年，全球有四分之一的公司受到勒索软件的影响，比上一年增加了 59%。

组织的网络风险水平取决于各种因素。虽然组织的规模及其运营所在的行业发挥着作用，但企业安全战略和当前的网络安全解决方案架构也发挥着作用。每家公司都将成为网络攻击的目标，而业务连续性取决于组织对这些威胁做出适当响应的能力。网络安全战略是组织为降低网络风险和防范网络大流行而制定的计划。

如何为您的企业制定网络安全战略

企业网络安全战略应根据组织的独特安全需求量身定制。不同行业和地点的小型、中型和大型企业可能面临非常不同的威胁并具有不同的安全要求。在这里，我们整理了六个步骤，让您开始制定和实施有效的网络安全战略。

#1、了解网络威胁形势

每个组织都面临着取决于各种因素的独特网络威胁环境。年复一年，网络威胁参与者都将精力集中在不同类型的攻击上，例如最近激增的勒索软件活动。当某些威胁行为者针对某些行业或地理区域时，组织的行业和位置起着重要作用。一家公司面临的网络威胁也可能受到其他因素的影响，例如它是否拥有基于云的基础设施、物联网系统是否连接到公司网络，或者互联网和暗网上的可用数据类型。

有效的网络安全战略需要清楚地了解组织可能面临的网络威胁。公司可以深入了解来自各种来源的潜在威胁，包括：

• 过去对企业的攻击
• 针对业内其他业务的攻击
• 威胁情报源

在确定可能面临的威胁后，组织可以制定策略来预防和防范这些威胁。然后可以部署网络安全解决方案、流程和程序，以最大限度地提高它们对公司风险敞口的影响。例如，部署反勒索软件防御应该是当前网络威胁形势的主要优先事项。

#2、评估您的网络安全成熟度

平均而言，组织将大约 21% 的 IT 预算用于网络安全，因此中小型企业的安全计划可用的资源与财富 500 强公司的资源有很大不同。公司的年龄、资源可用性、监管要求和其他因素都会影响组织的网络安全成熟度。这些不同的成熟度水平会影响组织遭受成功攻击的可能性及其对公司的影响。

网络安全成熟度评估从组织 IT 基础设施的清单开始。了解公司拥有的 IT 资产及其收集、存储和处理的数据类型，有助于深入了解组织需要管理的安全风险类型。例如，处理高价值财务或医疗保健数据的组织需要实施比处理不太敏感数据的组织更严格的数据隐私和分类安全控制。此外，不同类型的 IT 设备和基础设施面临不同的安全风险，必须加以管理。

在确定组织的资产及其相关威胁和风险后，公司可以开始将其现有的安全控制与保护这些资产所需的安全控制进行比较。在评估安全成熟度时，合规标准、框架和基准可能是有用的工具。

#3、利用安全基准和合规标准

制定有效的安全策略似乎势不可挡。但是，组织不需要从头开始。存在许多资源，它们为如何实施安全最佳实践和为组织制定有效的安全策略提供指导。

组织可能选择采用的安全基准、标准和框架取决于其安全计划的目标。在许多情况下，公司受到各种法规的约束，这些法规要求他们应该如何保护敏感数据。例如，美国的医疗保健信息受到健康保险可携带性和可访问性法案 (HIPAA)的保护，支付卡持有人的数据属于支付卡行业数据安全标准 (PCI DSS) 的管辖范围，以及其他数据隐私欧盟通用数据保护条例 (GDPR) 等法律保护其他人群或数据类型。

公司还可以选择遵守可选标准，例如ISO 27001或SOC2。如果组织受这些法规的约束，那么标准概述的所需安全控制是网络安全战略的良好起点。

如果组织的安全策略是内部驱动的，则存在许多标准和框架来帮助实现这一点，并且还可以支持合规性工作。一些示例包括NIST网络安全框架 (NIST CSF) 和互联网安全中心 (CIS) 前 20 名控制。这些标准包括网络安全最佳实践，使组织能够将其安全战略与 HIPAA 和PCI DSS等法规保持一致。

#4、同时利用预防和检测方法

通过以检测为中心的安全策略，组织部署了旨在识别潜在威胁并触发事件响应的网络安全解决方案。然而，虽然威胁检测是网络安全策略的一个有用组成部分，但它本质上是被动的。当组织采取行动时，威胁已经存在并且可能存在于组织的系统中，从而为攻击者提供了窃取数据、造成损害或采取其他恶意行动的机会。

有效的网络安全策略侧重于威胁预防而不是威胁检测。通过识别组织可能受到攻击的各种方式并缩小这些安全漏洞，组织可以消除攻击对组织的潜在风险和成本。应尽可能使用威胁预防解决方案来消除威胁，并应得到检测技术的支持，使组织能够识别和响应绕过漏洞的攻击。

#5、设计网络安全架构

了解网络威胁形势和组织当前的安全成熟度有助于深入了解安全策略应解决的问题。通过以预防为重点的方法实施的网络安全标准为这样做提供了指导。有了这些信息，公司就可以开始设计网络安全架构。

网络安全架构的设计应基于安全最佳实践。要纳入的一些关键概念包括：

• 零信任安全：在零信任安全模型下，每个访问公司资源的请求都会根据具体情况进行评估。评估基于角色的访问控制和其他风险因素，以确定是否应批准或拒绝请求。通过实施零信任，组织可以降低网络风险，使威胁行为者更难使用受损帐户或软件在不被发现的情况下实现其目标。
• 深度防御：没有安全解决方案是完美的，攻击者可能能够逃避、绕过或禁用单道防线。实施多道防线增加了组织能够在威胁对业务造成损害之前检测和响应的可能性。

#6、整合安全基础设施

安全团队面临的最常见挑战之一是由于独立安全解决方案的断开架构而导致的过载和倦怠。组织在其网络中部署的每个独立解决方案都必须经过配置、维护和监控才能有效。在人员有限的情况下，与此相关的开销会导致漏检、可见性和安全漏洞。

有效的安全策略由统一的安全架构支持。借助集成的安全架构，安全分析师可以从一个位置监控和管理其安全基础架构。这提供了许多好处，包括：

• 提高可见性：整合的安全架构可让您从单个仪表板了解组织安全架构的每个部分。这消除了通过在多个解决方案的仪表板上划分安全监控和管理而造成的可见性差距。
• 更好的性能：整合的安全架构为安全分析师提供了一个单一的仪表板来管理完整的安全架构。这消除了与多个工具之间的上下文切换以及手动聚合和分析来自各种来源的数据相关的低效率。
• 高效覆盖：整合的安全架构旨在全面覆盖组织的安全风险。这消除了由独立安全解决方案创建的安全漏洞或冗余、重叠的功能。
• 降低总体拥有成本：安全整合提高了安全团队和安全架构的效率 这通过消除冗余和低效率降低了总拥有成本 (TCO)。
• 提高自动化：整合的安全架构将组织安全基础架构的每个组件连接起来。这可以实现更高的自动化，从而改进威胁检测和对潜在攻击的协调响应。