在數(shù)字化轉(zhuǎn)型快速發(fā)展的背景下，企業(yè)傳統(tǒng)的生產(chǎn)體系、業(yè)務(wù)環(huán)境逐漸由封閉轉(zhuǎn)向開放，其業(yè)務(wù)呈現(xiàn)出泛在分布、移動應(yīng)用、云化部署、彈性擴(kuò)展等趨勢。隨著企業(yè)數(shù)字化發(fā)展需求不斷升級、網(wǎng)絡(luò)接入方式更加多元，以“被動防御”為主要特征的傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)模式面臨著巨大挑戰(zhàn)，業(yè)界對主動安全防護(hù)策略應(yīng)用的期望也不斷增長。
　　目前，主動安全策略應(yīng)用的主要問題是誤報率高、實施難度大、可管理性差，導(dǎo)致主動安全技術(shù)需求旺盛，但真正成功應(yīng)用的項目還很有限。盡管被動安全任務(wù)的需求會長期存在，但企業(yè)應(yīng)該從現(xiàn)在開始積極嘗試采取更積極的措施，實現(xiàn)更智能、更主動的安全防護(hù)策略，從而更好地保護(hù)組織的數(shù)字資產(chǎn)。研究人員認(rèn)為，企業(yè)在應(yīng)用主動安全防護(hù)策略時，應(yīng)該重點關(guān)注是否具備以下8個前提條件。

　　1、做好資產(chǎn)梳理和發(fā)現(xiàn)

　　為了制定積極主動的網(wǎng)絡(luò)安全策略，CISO需要先了解自己有什么資產(chǎn)，知道什么需要最高級別的保護(hù)，并認(rèn)識到組織愿意接受的風(fēng)險。這可幫助CISO確定哪些威脅對組織構(gòu)成最大的風(fēng)險，因此需要給予最大的關(guān)注。

　　積極主動的網(wǎng)絡(luò)團(tuán)隊了解本組織的風(fēng)險狀況，能識別組織尚未面臨的風(fēng)險。這是能夠防止攻擊發(fā)生的一個關(guān)鍵因素，因為他們知道需要保護(hù)什么對象，能全面考慮到所有薄弱環(huán)節(jié)。

　　CISO需要長期做好這項工作，需要持續(xù)識別風(fēng)險，并深入了解貴組織的攻擊面。

　　2、擁有強大的身份安全措施

　　研究人員認(rèn)為，積極主動的安全團(tuán)隊不僅需要深入了解其IT環(huán)境和組織的風(fēng)險狀況，還需要具有強大的身份安全管控措施，可以清晰了解對哪些用戶、哪些設(shè)備正在訪問其網(wǎng)絡(luò)及相關(guān)業(yè)務(wù)系統(tǒng)。多因素身份驗證等策略有助于確保只有授權(quán)用戶才能訪問企業(yè)IT環(huán)境，阻止非法用戶的侵入。

　　有許多CISO已經(jīng)在落實嚴(yán)格的身份驗證要求，這也是他們向零信任架構(gòu)轉(zhuǎn)變的一部分。在這種架構(gòu)中，所有用戶(包括人和設(shè)備)在獲得訪問權(quán)之前必須驗證自己的身份。零信任還更進(jìn)一步：它另外限制已驗證身份的用戶只能訪問他們工作所需的那些系統(tǒng)和數(shù)據(jù)。遵循這種最小權(quán)限原則將是安全團(tuán)隊由被動響應(yīng)事件轉(zhuǎn)向主動安全防御的一個標(biāo)志。

　　3、提升快速應(yīng)變能力

　　讓防御措施啟動在黑客發(fā)起攻擊前的另一個關(guān)鍵是，安全團(tuán)隊?wèi)?yīng)具有比攻擊者更快速的應(yīng)變能力。為此，積極主動的安全團(tuán)隊需要采用以攻擊為中心的思維，避免那些按部就班的公式化安全能力建設(shè)，不斷完善實戰(zhàn)化安全能力構(gòu)建，學(xué)會從攻擊者的角度思考問題。網(wǎng)絡(luò)攻擊沒有標(biāo)準(zhǔn)模式，因此可靠的主動防御能力也是需要隨機應(yīng)變的，才可以應(yīng)對層出不窮的威脅。

　　4、持續(xù)性的安全監(jiān)測

　　積極主動的安全策略需要對信息化運營的各種關(guān)鍵參數(shù)進(jìn)行持續(xù)性的監(jiān)測，及時發(fā)現(xiàn)可疑的行為和活動。安全團(tuán)隊可以使用SaaS化的安全工具，或與托管安全服務(wù)商共同完成系統(tǒng)運營監(jiān)測工作。這種監(jiān)測可以讓安全團(tuán)隊及早留意各種威脅：黑客企圖利用被欺騙的網(wǎng)站、被劫持的公司商標(biāo)及其他形式的社會工程攻擊，從而使安全團(tuán)隊有時間采取對策，最大程度遏制這些攻擊企圖。

　　5、主動搜尋威脅

　　積極主動地搜尋威脅是主動安全策略落地的一個重要因素。對安全風(fēng)險的識別滯后一直是行業(yè)老大難問題，為了解決這個問題，企業(yè)安全團(tuán)隊需要轉(zhuǎn)向主動搜尋威脅，在數(shù)據(jù)泄密或勒索攻擊發(fā)生之前找到潛伏在其IT環(huán)境中的惡意程序或攻擊線索，這可以從技術(shù)角度(攻擊途徑)和漏洞利用者(黑客)這兩方面來結(jié)合推斷。

　　據(jù)SANS2022年威脅搜尋調(diào)查顯示，85%的受訪企業(yè)表示，威脅搜尋改善了本組織的安全狀況。與此同時，專家們表示，使用機器學(xué)習(xí)和人工智可以幫助企業(yè)安全團(tuán)隊更快速地發(fā)現(xiàn)威脅，這個比例有望進(jìn)一步提高。安全專業(yè)人員可得益于機器學(xué)習(xí)識別模式和預(yù)測結(jié)果的能力，這種技術(shù)提供了前所未有的可見性。這讓網(wǎng)絡(luò)團(tuán)隊可以迅速擴(kuò)大規(guī)模，盡早識別威脅，并比以往更快地對付攻擊。

　　6、高效的漏洞管理計劃

　　高效的漏洞管理計劃可以識別組織中存在哪些已知漏洞，并優(yōu)先修補風(fēng)險最高的漏洞，這是形成良好安全策略的重要標(biāo)志。為了保障主動安全策略的施行，安全團(tuán)隊?wèi)?yīng)更進(jìn)一步，為漏洞管理計劃添加漏洞搜尋功能。漏洞管理計劃主要專注于解決已發(fā)現(xiàn)的問題，而漏洞搜尋則要求安全團(tuán)隊主動發(fā)現(xiàn)未知的安全隱患，比如不安全的軟件代碼或其IT系統(tǒng)種的錯誤配置。安全專家建議，CISO應(yīng)定期進(jìn)行滲透測試，以找出存在的安全薄弱環(huán)節(jié)，并制定漏洞披露和懸賞計劃，以鼓勵和獎勵員工主動搜尋、發(fā)現(xiàn)和修復(fù)相關(guān)的漏洞問題。

　　7、實戰(zhàn)化的攻防演練

　　積極主動的安全團(tuán)隊會定期開展實戰(zhàn)化的攻防演練，評估攻擊得逞后己方如何響應(yīng)和應(yīng)對，這種演練也可以采用沙盤演練的方式。由于演練會設(shè)想并驗證攻擊會如何發(fā)生，它們可以幫助安全團(tuán)隊識別現(xiàn)有安全計劃的不足。然后，組織可以有針對性的縮小差距，阻止設(shè)想種的事件場景發(fā)生。攻防演練還有助于發(fā)現(xiàn)事件響應(yīng)方案存在的不足，幫助安全團(tuán)隊彌補這些不足。這種演練還可以為團(tuán)隊成員建立“肌肉記憶”，一旦類似事件發(fā)生，組織可以更迅速、更高效地行動，從而將破壞降到最低。

　　8、防患于未然

　　高瞻遠(yuǎn)矚、洞察未來很重要。積極主動的安全策略應(yīng)該著眼于發(fā)現(xiàn)并掌握應(yīng)用新興的安全技術(shù)、產(chǎn)品和標(biāo)準(zhǔn);此外，應(yīng)根據(jù)企業(yè)實際需求，盡快將這些新方法融入到企業(yè)安全戰(zhàn)略和實施計劃中。這樣可以讓安全部門在新威脅變化出現(xiàn)之前做好準(zhǔn)備。比如說，很多企業(yè)已經(jīng)在考慮量子計算會如何影響他們的安全計劃，確定哪些當(dāng)前的安全措施會失去成效，并確定新的保護(hù)措施。積極主動的安全團(tuán)隊現(xiàn)在應(yīng)考慮所有這些問題，他們要為多年后的威脅場景提前制定路線圖。