1. 異常建模：使用機器學(xué)習模型和異常檢測來(lái)識別異常行為，比如用戶(hù)從無(wú)法識別的IP地址訪(fǎng)問(wèn)網(wǎng)絡(luò )，用戶(hù)從與其角色無(wú)關(guān)的敏感文檔存儲庫下載大量知識產(chǎn)權(IP)，或者流量從組織沒(méi)有業(yè)務(wù)往來(lái)的國家或地區的服務(wù)器發(fā)來(lái)。

2. 威脅建模：使用來(lái)自威脅情報源的數據和違反規則/策略的情況，尋找已知的惡意行為。這可以快速輕松地篩選出簡(jiǎn)單的惡意軟件。

3. 訪(fǎng)問(wèn)異常建模：確定用戶(hù)是否在訪(fǎng)問(wèn)不尋常的資產(chǎn)或不應該訪(fǎng)問(wèn)的資產(chǎn)。這需要提取用戶(hù)角色、訪(fǎng)問(wèn)權限及/或身份證件方面的數據。

4. 身份風(fēng)險剖析：根據人力資源數據、觀(guān)察名單或外部風(fēng)險指標，確定事件所涉及的用戶(hù)風(fēng)險級別。例如，最近沒(méi)有被公司考慮升職的員工也許更有可能對公司懷恨在心，企圖進(jìn)行報復。

5. 數據分類(lèi)：標記與事件有關(guān)的所有相關(guān)數據，如涉及的事件、網(wǎng)段、資產(chǎn)或賬戶(hù)，為安全團隊提供上下文信息。

網(wǎng)絡(luò )安全中絕對“流行”的趨勢之一是安全運營(yíng)中心 (SOC) 現代化。越來(lái)越多的證據表明，這不是是否會(huì )受到攻擊的問(wèn)題，而是何時(shí)以及如何攻擊一個(gè)組織。我們看到 SOC 縮小了他們成為檢測和響應組織的使命的重點(diǎn)，需要某些構建塊來(lái)為未來(lái)的 SOC做好準備。

數據是 SOC 現代化的第一個(gè)構建塊，數據是安全的命脈。當安全性由數據驅動(dòng)時(shí)，團隊可以專(zhuān)注于相關(guān)的高優(yōu)先級問(wèn)題，做出最佳決策并采取正確的行動(dòng)。數據驅動(dòng)的安全性還提供了一個(gè)持續的反饋循環(huán)，使團隊能夠捕獲和使用數據來(lái)改進(jìn)未來(lái)的分析。

第二個(gè)構建塊建立在數據之上，是一個(gè)開(kāi)放式集成架構，可確保系統和工具可以協(xié)同工作，并且數據可以在整個(gè)基礎架構中流動(dòng)。隨著(zhù) SOC 成為檢測和響應組織，擴展檢測和響應 (XDR) 成為關(guān)鍵能力，只有基于開(kāi)放式架構方法才能有效執行。

物聯(lián)網(wǎng) (IoT) 解決了許多領(lǐng)域的關(guān)鍵問(wèn)題，從生產(chǎn)到健康，再從交通到物流等等。然而，物聯(lián)網(wǎng)日益增加的安全風(fēng)險要求在使用網(wǎng)聯(lián)設備時(shí)要小心謹慎

連網(wǎng)的物聯(lián)網(wǎng)對象不是相同的設備、裝置或服務(wù)。它們每個(gè)都有不同的用途、接口、運行機制和底層技術(shù)。鑒于這種多樣性，物聯(lián)網(wǎng)安全措施通過(guò)預防性方法保護通過(guò)網(wǎng)絡(luò )連接的物聯(lián)網(wǎng)設備，旨在防止可能通過(guò)這些設備實(shí)施的大規模網(wǎng)絡(luò )攻擊。與任何其他計算設備一樣，物聯(lián)網(wǎng)設備是攻擊者入侵公司網(wǎng)絡(luò )的潛在切入點(diǎn)，因此，需要強有力的安全措施來(lái)保護它們。

公司可以采取一些措施來(lái)確保其物聯(lián)網(wǎng)的安全，其中包括在物聯(lián)網(wǎng)設備上使用授權軟件，以及在收集或發(fā)送數據之前對網(wǎng)絡(luò )上的物聯(lián)網(wǎng)設備進(jìn)行身份驗證。此外，由于它們的計算能力和內存有限，因此有必要設置防火墻來(lái)過(guò)濾發(fā)送到物聯(lián)網(wǎng)端點(diǎn)的數據包。

威脅一：成規模的網(wǎng)絡(luò )攻擊

網(wǎng)絡(luò )攻擊對于企業(yè)、政府機構等來(lái)說(shuō)都并不陌生，往往有IT工程人員兢兢業(yè)業(yè)地防守著(zhù)。而隨著(zhù)很多人在疫情之后轉向長(cháng)期數字生活，也給網(wǎng)絡(luò )攻擊帶來(lái)了一些新的變化。

威脅二：以假亂真的在線(xiàn)欺詐

互聯(lián)網(wǎng)服務(wù)以一種自然的、無(wú)感的方式嵌入我們的日常生活中，成為必不可少的工具，這意味著(zhù)人們必須不斷自我學(xué)習來(lái)提升數字技能。這時(shí)候，很多缺乏數字技能的人，就可能成為網(wǎng)絡(luò )詐騙的重災區。

威脅三：零工時(shí)代的勞工困境

如果說(shuō)前面兩種威脅都是實(shí)打實(shí)的財產(chǎn)或信息損失，可以通過(guò)有力的政策和技術(shù)工具來(lái)規避，那么有一種威脅可能是悄無(wú)聲息、但傷筋動(dòng)骨的，那就是零工經(jīng)濟引發(fā)的勞工問(wèn)題。

過(guò)去，我們認為企業(yè)如同一座被城墻(防火墻)、護城河(DMZ)和吊橋(訪(fǎng)問(wèn)控制)層層防護起來(lái)的堅固城池，但隨著(zhù)網(wǎng)絡(luò )攻擊手段的不斷升級、犯罪販子的日益猖獗、遠程辦公常態(tài)化所帶來(lái)的攻擊面增大等眾多因素的影響下，零信任理念已經(jīng)逐漸成為解決網(wǎng)絡(luò )安全問(wèn)題的重要推手。

2021年5月，美國政府在改善國家網(wǎng)絡(luò )安全的行政令中要求政府機構要采用零信任方案，政令發(fā)布后，美國行政管理和預算辦公室(英文簡(jiǎn)稱(chēng)：OMB)隨即發(fā)布了如何推進(jìn)零信任架構落地的戰略方案，此外，接二連三，CISA在去年秋季發(fā)布了《零信任成熟度模型》、NIST發(fā)布了白皮書(shū)《零信任架構規劃》，其中，《零信任架構規劃》闡述了如何利用網(wǎng)絡(luò )安全框架(CSF)和NIST風(fēng)險管理框架(RMF，SP800–37)來(lái)助力企業(yè)順利遷移升級為零信任架構。

端點(diǎn)不僅僅是一個(gè)閑置在角落里的斷開(kāi)連接的黑匣子。端點(diǎn)通常是有權參與預定義活動(dòng)的計算平臺，例如處理能力、訪(fǎng)問(wèn)資源或與其他端點(diǎn)通信。所有這些端點(diǎn)的存在都是為了向組織提供價(jià)值，但要確保這一價(jià)值，需要驗證它們的行為是否符合組織的預期。有效的態(tài)勢感知通過(guò)定位超出其權限范圍的端點(diǎn)來(lái)執行策略，并為運營(yíng)商提供可疑和良性端點(diǎn)行為的整體圖景。這種意識支持決策并幫助組織降低風(fēng)險。

在某些配置中，其中許多解決方案會(huì )生成大量日志數據，通常通過(guò)網(wǎng)絡(luò )將其發(fā)送到中央收集器。歸檔這些日志所需的存儲量可能會(huì )迅速增加，并且此活動(dòng)占用的網(wǎng)絡(luò )帶寬會(huì )增加大量網(wǎng)絡(luò )開(kāi)銷(xiāo)并使低帶寬連接飽和，端點(diǎn)可見(jiàn)性的某些方面可以在網(wǎng)絡(luò )級別實(shí)現，允許態(tài)勢感知收集完全忽略端點(diǎn)提供的重復數據，或者用來(lái)自另一個(gè)數據集的信息證實(shí)一個(gè)數據集中的觀(guān)察結果。

防火墻技術(shù)：是網(wǎng)絡(luò )安全防護中最常用的技術(shù)之一，作用原理是在用戶(hù)端網(wǎng)絡(luò )周?chē)⑵鹨欢ǖ谋Ｗo網(wǎng)絡(luò )，從而將用戶(hù)的網(wǎng)絡(luò )與外部的網(wǎng)絡(luò )相區隔。

防病毒技術(shù)：計算機病毒是危害性最大的網(wǎng)絡(luò )安全問(wèn)題，具有傳播快、影響范圍廣的特點(diǎn)，給其防范帶來(lái)了很大的難度。最常使用的防病毒方式就是安全防病毒的軟件。

數據加密技術(shù)：是近年來(lái)新發(fā)展起來(lái)的一種安全防護措施。它的作用原理是將加密的算法與加密秘鑰結合起來(lái)，將明文轉換為密文，在計算機之間進(jìn)行數據傳輸。為了一個(gè)安全、良好、有序的網(wǎng)絡(luò )環(huán)境，有必要采取有效的安全防范措施。

對計算機安全漏洞的防范是一個(gè)長(cháng)期持續的過(guò)程，防范的措施也要隨著(zhù)時(shí)間的變化和技術(shù)的發(fā)展進(jìn)行不斷的創(chuàng )新。