檢測和應對網絡威脅的正確姿勢

隨著數字化轉型的深入推進，以及人工智能等新一代信息技術的廣泛應用，數字資產的開放性、重要性和復雜性與日俱增，企業在網絡安全、數據安全等方面面臨著前所未有的挑戰。

安全左移

2023年，在全球范圍內，網絡安全事件層出不窮：美國某醫療設備廠商遭遇網絡攻擊，超過100萬人的敏感信息被泄露；愛爾蘭一家知名的水果和蔬菜生產商由于遭受勒索軟件，生產工廠暫時關閉，導致了數千萬美元的經濟損失……諸如此類的安全事件不勝枚舉。究其原因，有的企業由于安全體系不健全，面對隱蔽性極強的攻擊“后者后覺”，最終導致了無法挽回的經濟損失；有的企業雖然在其內部網絡中檢測到了異?；顒?，但由于應對不利，也給業務的正常運行造成了負面影響。

無論是因為“看不清”，對漏洞、弱密碼“視而不見”，或者由于安全設備多、告警復雜，只能是“霧里看花”，還是雖然“看得清”，但面對攻擊手法快速迭代的黑客攻擊、零日漏洞、病毒的新型變種等，由于能力不足或防護難度大而“防不住”，企業的安全底線正受到越來越嚴峻的挑戰。在這種情況下，企業必須積極行動起來，全面增強安全防護意識，將“安全左移”，采用更加行之有效的手段和工具，提前預測、發現、揭示安全漏洞，從而更好地保護數字資產的安全。

“看見”威脅

受利益的驅使，再加上技術上的演進，現在的攻擊者有更充足的時間和資源設計并隨時隨地發動新的攻擊。而且攻擊越來越具有隱蔽性和針對性，破壞性也更強，很多時候能夠輕易繞過防御或逃避檢測，這無疑增加了企業實施安全防護的難度。正因為如此，主動式安全防御的思路就顯得更加重要且必要。面對不斷變化的新型網絡攻擊，企業用戶應站在攻擊者的角度去思考和研究，攻擊者可能采用的攻擊戰術和手段、攻擊的來源和路徑等，從而提升對攻擊的可見性，做到知己知彼，才能實時地發現安全威脅，修復和緩解由此可能產生的危害。

為實現上述目標，檢測和應對網絡威脅不可或缺。所謂檢測和應對網絡威脅，是指積極識別和處理計算機網絡、系統或組織內潛在的安全事件和惡意活動。它包括監視和分析網絡流量、系統日志和其他安全數據，以識別未經授權的訪問、入侵、惡意軟件感染、數據泄露或其他網絡威脅的跡象。近年來，包括大數據、人工智能、深度學習等技術的引入，進一步提升了人們“看見”威脅的能力。這為企業打贏安全防御之仗奠定了堅實基礎。

一步也不能省

戴爾科技依據自身多年的安全防御實踐，歸納和總結出了一套檢測和應對網絡威脅的流程和方法論，從監視、威脅檢測、警報和通知、事件響應、取證分析、修正和恢復等層面幫助企業用戶構建一張主動式安全網絡，從而進一步增強企業自身的“免疫力”。

監視：依靠入侵檢測系統 (IDS)、入侵防御系統 (IPS)、日志分析和威脅情報反饋等安全工具和技術，持續監視網絡和系統活動。越來越多的企業開始引入智慧監測新模式，致力于構建全方位、立體化、分層次的資產監管體系。

威脅檢測：分析所收集的數據，以識別可能表明潛在網絡威脅的模式、異常情況和失陷指標 (IoC)，主要包括識別已知的攻擊特征，以及識別異常行為或偏離正常情況的行為。建立威脅情報體系對于主動防御大有裨益。通過構建威脅情報生態，建立威脅情報大數據共享開放平臺，能夠達到更好的縱深防御效果。

警報和通知：當檢測到潛在威脅或事件時，要自動向安全人員或安全運營中心 (SOC) 發出警報和通知。警報起到預警的作用，便于及時開展調查和采取應對措施。

事件響應：啟動響應計劃，調查和緩解已確認的安全事件，主要包括遏制影響，確定根本原因，以及采取必要行動恢復系統并防止進一步的損失?！毒W絡安全法》第二十五條明確規定:網絡運營者應當制定網絡安全事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告。

取證分析：對事件進行詳細分析，以了解攻擊方法，確定數據泄露范圍，識別受影響的系統或數據，并為可能的法律訴訟或處罰收集證據。在實踐中，企業應采用風險識別與事件監測相結合的綜合研判技術，探測發現威脅企業的數據安全事件，并提供完整追溯取證證據鏈。

修正和恢復：采取措施修正漏洞、修補系統、刪除惡意軟件并實施增強的安全措施，將受影響的系統和數據還原到正常狀態，同時汲取經驗與教訓，以防止今后類似事件的發生。

打贏安全持久戰

網絡安全的本質就是對抗，而且是一場長久的博弈。為了應對越來越復雜的網絡威脅，新的安全理念、技術也在不斷涌現，并在應用實踐中快速發展、不斷完善。在這場攻防大戰中，檢測和應對網絡威脅的目的是盡可能降低安全事件造成的影響和潛在損害。如果企業能夠及時識別和應對威脅，就能有效降低風險，保護敏感數據，保持業務連續性、維護聲譽。

檢測和應對網絡威脅是一個持續且迭代的過程，需要將技術、熟練的人員、明確定義的流程以及組織內的各個團隊協同起來，采取積極有效的措施，持續提高環境的可見性、控制力和響應能力，從而保證企業和組織正常的運行時間目標和業務發展。