企業(yè)如何知道自己是否已真的準備好應(yīng)對網(wǎng)絡(luò)攻擊?事實上，我們可利用網(wǎng)絡(luò)安全準備目標來顯著提高企業(yè)的安全狀態(tài)。下面讓我們看看如何實現(xiàn)：

網(wǎng)絡(luò)安全計劃

網(wǎng)絡(luò)安全計劃通常將風險評估中確定的關(guān)鍵信息資產(chǎn)與核心業(yè)務(wù)流程、目標和任務(wù)相關(guān)聯(lián)。

在這種情況下，企業(yè)將其客戶信息數(shù)據(jù)庫作為關(guān)鍵信息資產(chǎn)，支持著企業(yè)運營。網(wǎng)絡(luò)安全計劃還將確定安全要求以及做法，以保護客戶信息數(shù)據(jù)庫以及關(guān)鍵業(yè)務(wù)流程。

[[198978]]

信息安全架構(gòu)

信息安全架構(gòu)的基本概念是，如果流入、流出以及流經(jīng)信息網(wǎng)絡(luò)的流量無法被看到，則無法有效監(jiān)控。

在這種情況下，企業(yè)確實有足夠的網(wǎng)絡(luò)監(jiān)控來檢測攻擊期間流出網(wǎng)絡(luò)的客戶數(shù)據(jù)，而不是在攻擊發(fā)生的幾個月或者幾年后。作為事后分析的一部分，企業(yè)的信息安全架構(gòu)的性能將被評估，并將得出相關(guān)建議進行潛在變更?？赡艿淖兏殡娮余]件和其他協(xié)議使用應(yīng)用程序代理服務(wù)、控制數(shù)據(jù)傳輸、構(gòu)建數(shù)據(jù)丟失保護系統(tǒng)以及改進整體網(wǎng)絡(luò)監(jiān)控。

風險管理

作為風險管理計劃的一部分，企業(yè)必須首先確定關(guān)鍵信息資產(chǎn)。隨后風險管理計劃可擴展到識別關(guān)鍵人員、業(yè)務(wù)流程和技術(shù)。

風險管理還要求你了解為什么所選的關(guān)鍵資產(chǎn)對運營、任務(wù)完成和業(yè)務(wù)連續(xù)性很重要。這些因素是網(wǎng)絡(luò)安全計劃的核心要素。

在這種情況下，企業(yè)應(yīng)利用風險管理流程的結(jié)果來制定網(wǎng)絡(luò)安全保護戰(zhàn)略。這樣一來，企業(yè)可發(fā)現(xiàn)釣魚郵件攻擊以及遠程訪問作為重大風險。

身份管理

身份管理是核心安全管理功能，它旨在提高安全性和生產(chǎn)力，同時減少冗余和降低成本。

在這種情況下，企業(yè)應(yīng)審核其身份和訪問管理策略、流程和過程以提高角色定義，防止用戶網(wǎng)絡(luò)登錄憑證訪問關(guān)鍵信息資產(chǎn)，例如客戶信息數(shù)據(jù)庫。此外，雙因素身份驗證被認為是改善企業(yè)身份管理計劃的重要組成部分。

授權(quán)和問責制管理

當用戶身份由身份管理系統(tǒng)驗證后，則會根據(jù)訪問控制模型以及政策由授權(quán)管理系統(tǒng)來授予用戶訪問權(quán)限。問責制管理則讓企業(yè)可獲得網(wǎng)絡(luò)資源如何被訪問和使用的完整視圖。

在這種情況下，企業(yè)將會審查其授權(quán)要求，并確保網(wǎng)絡(luò)訪問不意味著完全的管理員訪問。此外，審查將實施雙因素身份驗證，并防止遠程用戶獲得管理員數(shù)據(jù)庫訪問權(quán)限，還將訪問限制到正常業(yè)務(wù)時間。

網(wǎng)絡(luò)監(jiān)控

網(wǎng)絡(luò)監(jiān)控和流量分析技術(shù)說明，網(wǎng)絡(luò)運營商還有空間改進其網(wǎng)絡(luò)安全。

了解企業(yè)網(wǎng)絡(luò)實際如何運行、通過已知安全網(wǎng)關(guān)整合流量，并通過各種監(jiān)控工具密切觀察流量，這些都是網(wǎng)絡(luò)安全領(lǐng)域仍然有很大改進空間的領(lǐng)域。

在這種情況下，企業(yè)確實檢測到客戶信息被刪除，但沒有檢測到原始事件向量—網(wǎng)絡(luò)釣魚郵件。作為整體網(wǎng)絡(luò)監(jiān)控審查的一部分，企業(yè)應(yīng)改進IP地址過濾、為電子郵件添加應(yīng)用代理，并考慮完整的數(shù)據(jù)丟失保護系統(tǒng)。

在事故響應(yīng)中SOC的作用

當事件相應(yīng)小組最初形成時(第一個電腦安全響應(yīng)小組于1998年創(chuàng)建，現(xiàn)在被稱為CERT)，事故響應(yīng)往往是大型企業(yè)和政府機構(gòu)的獨立活動。

現(xiàn)在，事故響應(yīng)活動的構(gòu)成發(fā)生了巨大變化。

在20世紀20年代初，管理和預算辦公室要求所有美國聯(lián)邦行政機構(gòu)各自運行自己的安全運營中心(SOC)，并將所有安全警報發(fā)送到SOC進行分析。事實上，SOC的主要作用已經(jīng)變成事件檢測。

最終，所有自動化安全警報、用戶報告、漏洞通知、來自CERT的公告和其他信息都發(fā)送到SOC進行分析。隨著SOC成為所有安全相關(guān)報告和警報的分類點，它也成為計算機安全事故響應(yīng)的前端。

計算機安全事故響應(yīng)是一種響應(yīng)服務(wù)，只有當檢測到網(wǎng)絡(luò)安全事故時才被激活，并且，它側(cè)重于網(wǎng)絡(luò)安全事故的技術(shù)方面。

另一方面，安全事故管理側(cè)重于業(yè)務(wù)規(guī)劃，旨在保護核心業(yè)務(wù)功能的連續(xù)性以及支持這些業(yè)務(wù)功能的信息資產(chǎn)。了解業(yè)務(wù)目標和流程以及其安全要求以及信息資產(chǎn)，可更好地了解如何保護業(yè)務(wù)連續(xù)性，并在網(wǎng)絡(luò)安全事故發(fā)生時實現(xiàn)更有效的事件響應(yīng)。

整合安全事故管理到安全操作中心可提高事件檢測能力以及事故響應(yīng)的有效性，并可幫助企業(yè)整合網(wǎng)絡(luò)安全準備就緒的所有必要組件。