1.數據采集.數據是現代安全運營(yíng)中心的生命線(xiàn)，分析和算法離不開(kāi)數據。

2.威脅檢測。安全運營(yíng)中心需要能夠結合多種技術(shù)，比如關(guān)聯(lián)規則、機器學(xué)習和數據分析，實(shí)現更好的安全事件檢測能力。

3.風(fēng)險預警。預測安全事件的能力可以讓安全運營(yíng)中心主動(dòng)將事件上報給人員，或通過(guò)預定義的流程簡(jiǎn)化響應。

4.自動(dòng)化運營(yíng)。自動(dòng)化是幫助安全分析師的新技術(shù)之一，通過(guò)自動(dòng)化功能，使安全運營(yíng)中心高效快捷處理工作。

5.能力編排。編排所有產(chǎn)品的能力可以消除開(kāi)銷(xiāo)、減少了挫折感，并幫助安全分析師將精力集中在重要任務(wù)上。

6.知識庫積累。通過(guò)知識庫積累，能夠建議下一步具體的行動(dòng)或戰略手冊。

7.團隊合作。安全是一項需要協(xié)調、溝通和協(xié)作的團隊工作。

8.案例管理。當安全事故發(fā)生后，安全團隊需要確保自己有響應計劃、工作流程、證據收集、溝通等。

9.報告展現。擁有合適的報告工具可以幫助安全團隊了解正在執行的操作，并能夠準確地衡量現狀和需要實(shí)現的目標。

精心設計、精心維護且人員配備齊全的安全運營(yíng)中心已經(jīng)成為現代企業(yè)組織必須依靠的安全防線(xiàn)，它是一個(gè)進(jìn)行集中安全運維的地方，安全團隊通常全天候不間斷地監控、檢測、分析和響應網(wǎng)絡(luò )安全事件。企業(yè)組織要確保網(wǎng)絡(luò )安全，不妨認真審視一下自己的安全運營(yíng)中心。

安全信息事件管理(SIEM)系統的應用已經(jīng)超過(guò)20年，但隨著(zhù)網(wǎng)絡(luò )攻擊變得越來(lái)越隱秘、手段越來(lái)越復雜、影響越來(lái)越大，SIEM也需不斷升級演進(jìn)。

挑戰一：原始數據量多，噪音太大。當今，SIEM技術(shù)已跟不上安全團隊收集和生成的海量數據。它不僅會(huì )錯過(guò)大量的安全威脅，而且還會(huì )產(chǎn)生較多誤報，因此需要實(shí)現數據自動(dòng)化處理，以消除“誤報”。

挑戰二：過(guò)時(shí)的、基于規則的識別技術(shù)。試圖使用簡(jiǎn)單的、基于規則的技術(shù)來(lái)有效地進(jìn)行威脅檢測目前已經(jīng)行不通，因此需要基于人工智能技術(shù)實(shí)現人工智能技術(shù)。

挑戰三：弱檢測，無(wú)響應。SIEM一直存在“弱檢測，無(wú)響應”的問(wèn)題，但有效的警報分類(lèi)需要檢測和響應之間相互作用。由此需要將檢測和響應由一個(gè)平臺自動(dòng)化實(shí)現。

挑戰四：SIEM系統不會(huì )“學(xué)習”。大多數情況下，SIEM不會(huì )機器學(xué)習或很少使用機器學(xué)習算法，這不利于高效安全運營(yíng)工作的開(kāi)展。由此需要在機器學(xué)習技術(shù)的幫助下，更有效地檢測、分析和響應海量數據。

傳統SIEM系統由于存在難以實(shí)現精準告警、漏報較為嚴重等問(wèn)題，已不是企業(yè)安全運營(yíng)管理的理想選擇，但這并不意味著(zhù)需要淘汰它。作為企業(yè)內部安全日志的匯聚器，SIEM的基本功能或許永遠不會(huì )過(guò)時(shí)，因為本地安全日志始終是最具價(jià)值的威脅情報來(lái)源。但安全團隊需要盡快升級優(yōu)化SIEM，配合更多的威脅檢測/響應、調查/查詢(xún)、威脅情報分析以及流程自動(dòng)化/編排等先進(jìn)安全能力，以實(shí)現更加高效、準確的發(fā)現、檢測和響應安全威脅。

Skybox安全研究實(shí)驗室在2021年公布了20175個(gè)新漏洞。新漏洞數量的創(chuàng )紀錄增長(cháng)。數據顯示，運營(yíng)技術(shù)(OT)漏洞在2021年增加了88%，這些漏洞用于攻擊關(guān)鍵基礎設施，并使重要系統面臨潛在的破壞。運營(yíng)技術(shù)系統支持能源、水、交通、環(huán)境控制系統和其他基本設備。對這些重要資產(chǎn)的網(wǎng)絡(luò )攻擊可能造成嚴重的經(jīng)濟損失，甚至危及公共健康和安全。隨著(zhù)2021年新漏洞的出現，威脅行為者立即利用它們。2021年發(fā)布的168個(gè)漏洞在12個(gè)月內被迅速利用，這比2020年發(fā)布并隨后被利用的漏洞數量多出24%。換句話(huà)說(shuō)，威脅行為者和惡意軟件開(kāi)發(fā)人員將最近出現的漏洞武器化。這讓安全團隊陷入困境，縮短了從最初發(fā)現漏洞到出現針對漏洞的主動(dòng)攻擊之間的時(shí)間。修復已知漏洞的窗口越來(lái)越小，這意味著(zhù)主動(dòng)性漏洞管理方法比以往任何時(shí)候都更為重要。此外，針對已知漏洞的新加密劫持程序同比增長(cháng)75%，勒索軟件增長(cháng)了42%。這為經(jīng)驗豐富的網(wǎng)絡(luò )罪犯和缺乏經(jīng)驗的新手提供一系列工具和服務(wù)。

為了通用風(fēng)險語(yǔ)言實(shí)現標準化，安全團隊需要一個(gè)客觀(guān)的框架來(lái)衡量任何給定漏洞對其企業(yè)構成的實(shí)際風(fēng)險。為了防止發(fā)生網(wǎng)絡(luò )安全事件，對可能導致最嚴重破壞的暴露漏洞進(jìn)行優(yōu)先排序至關(guān)重要。為了通用風(fēng)險語(yǔ)言實(shí)現標準化，安全團隊需要一個(gè)客觀(guān)的框架來(lái)衡量任何給定漏洞對其企業(yè)構成的實(shí)際風(fēng)險。然后應用適當的補救選項，包括配置更改或網(wǎng)絡(luò )分段，以消除風(fēng)險。

企業(yè)使用云計算服務(wù)已經(jīng)有了幾十年的歷史，云計算已經(jīng)成為我們應用程序、基礎設施和數據的安全門(mén)戶(hù)。針對面臨的風(fēng)險和相應的應對措施分別是：

1)責任和數據風(fēng)險。用戶(hù)需要確保有一個(gè)完全透明的協(xié)議和安全策略，以確保第三方服務(wù)提供商將符合標準來(lái)保護其數據。

2)用戶(hù)身份聯(lián)合。企業(yè)需要使用某些工具來(lái)強制執行密碼或軟件的安全標準。

3)法規遵從性。服務(wù)提供商需要確保他們將遵守有關(guān)存儲數據的監管規則。

4)業(yè)務(wù)連續性和彈性。企業(yè)確保在任何停機情況下都有服務(wù)水平協(xié)議以及災難恢復計劃。

5)用戶(hù)隱私和數據的二次使用。通過(guò)MFA或加密，以及制定用戶(hù)隱私和數據應該如何使用的政策。

6)服務(wù)和數據集成。企業(yè)需要確保云提供商使用安全套接字層和最新的傳輸安全協(xié)議。

7)多租戶(hù)和物理安全。云服務(wù)提供商需要設置具有邏輯隔離的服務(wù)器，確保每個(gè)企業(yè)的基礎設施是隔離的。

8)發(fā)生率分析和取證。企業(yè)需要了解云服務(wù)提供商如何存儲和處理事件日志。

云計算讓我們有機會(huì )遠程使用所需的所有服務(wù)，并安全地訪(fǎng)問(wèn)數據。然而，云服務(wù)提供商也有被泄露的風(fēng)險，并導致他們的客戶(hù)數據暴露。為了保護自己免受潛在威脅，我們需要意識到安全風(fēng)險。因此，如果企業(yè)在與供應商聯(lián)系時(shí)，考慮到這些潛在的風(fēng)險，并制定相應的措施，必然能夠為企業(yè)的運營(yíng)創(chuàng )造更好的安全環(huán)境。

隨著(zhù)數字經(jīng)濟的快速發(fā)展，傳統IT架構正在從“有邊界”向“無(wú)邊界”轉變，這改變了應用資源的訪(fǎng)問(wèn)方式，也帶來(lái)了核心數據被攻擊導致泄露的安全風(fēng)險.

零信任代表了新一代的網(wǎng)絡(luò )安全防護理念，它的關(guān)鍵在于打破默認的“信任”，其核心理念是“持續驗證，永不信任”。與傳統數據安全方案相比，基于零信任的數據不落地方案在確保第三方人員數據共享使用的同時(shí)，通過(guò)數據資源隔離、細粒度授權控制、數據審批、多維審計等機制，將數據的共享和流轉進(jìn)行控制，實(shí)現數據所有權和使用權分離。整個(gè)體系依據等保2.0和《數據安全法》等要求，設計并構建覆蓋數據訪(fǎng)問(wèn)安全、數據交換與傳輸安全、訪(fǎng)問(wèn)控制、數據使用申請與管理的一站式數據安全管控方案;基于零信任安全理念，將數據使用權和數據所有權分離，構建虛擬隔離的數據資源安全邊界，防止數據泄露、數據篡改等事件發(fā)生，打造零信任架構下的新一代數據安全管控和隔離方案，實(shí)現數據傳輸、使用、共享安全。

將零信任架構引入到數據安全防護體系中，可以將動(dòng)態(tài)訪(fǎng)問(wèn)控制、最小化授權、網(wǎng)絡(luò )隱身等與數據不落地技術(shù)有機結合起來(lái)，讓數據隔離和統一管控變得簡(jiǎn)單。數據的訪(fǎng)問(wèn)用戶(hù)無(wú)法直接接觸到目標數據資源，僅可以通過(guò)受控的“安全盤(pán)”訪(fǎng)問(wèn)虛擬的投影目標。此種解決方案可應用于各類(lèi)數據開(kāi)放、共享交換等業(yè)務(wù)場(chǎng)景，滿(mǎn)足數據不落地、防勒索病毒、遠程瀏覽器隔離(RBI)等安全需求。

趨勢1：受攻擊面擴大。信息物理系統和物聯(lián)網(wǎng)的使用、開(kāi)源代碼、云應用、復雜的數字供應鏈、社交媒體等引發(fā)的風(fēng)險使企業(yè)暴露出的受攻擊面超出了其可控資產(chǎn)的范圍。

趨勢2：數字供應鏈風(fēng)險。Gartner預測，到2025年全球45%的企業(yè)機構將遭受軟件供應鏈攻擊，相比2021年增加3倍。

趨勢3：身份威脅檢測和響應。攻擊者正在瞄準針對身份和訪(fǎng)問(wèn)管理基礎設施，通過(guò)憑證濫用發(fā)起攻擊。

趨勢4：分布式?jīng)Q策。為了滿(mǎn)足數字業(yè)務(wù)的范圍、規模和復雜性，需要將網(wǎng)絡(luò )安全決策、責任和問(wèn)責制度分散到整個(gè)企業(yè)，避免職能的集中化。

趨勢5：超越安全意識培訓。企業(yè)機構正在投資于整體安全行為和文化計劃(SBCP)，取代過(guò)時(shí)的以合規為中心的安全意識宣傳活動(dòng)。

趨勢6：廠(chǎng)商整合。擴展檢測和響應、安全服務(wù)邊緣和云原生應用保護平臺等新的平臺策略正在加速釋放融合解決方案的效益。

趨勢7：網(wǎng)絡(luò )安全網(wǎng)格。網(wǎng)絡(luò )安全網(wǎng)格架構有助于提供一個(gè)通用的集成式安全架構和態(tài)勢來(lái)保證所有本地、數據中心和云端資產(chǎn)的安全。

Gartner發(fā)布的主要網(wǎng)絡(luò )安全趨勢并非孤立存在，而是相互依存和加強。安全和風(fēng)險管理領(lǐng)導者需要應對七大趨勢，才能保護企業(yè)不斷擴張的數字足跡免受2022年及以后新威脅的影響。并且它們將共同幫助首席信息安全官推動(dòng)自身角色的演變，從而應對未來(lái)的安全和風(fēng)險管理挑戰，并繼續提升他們在企業(yè)機構中的地位。

近年來(lái)隨著(zhù)網(wǎng)絡(luò )安全政策、技術(shù)的不斷發(fā)展，員工安全意識薄弱已經(jīng)成為企業(yè)面臨的最大風(fēng)險。提高員工安全意識，做好安全教育工作刻不容緩。結合國內外安全意識提升的資料來(lái)看，不難發(fā)現安全意識的提升主要從兩個(gè)方面進(jìn)行：安全培訓和模擬演習。以下就如何做好安全培訓和模擬演習需要關(guān)注的多項指標進(jìn)行敘述。

1.安全培訓關(guān)鍵指標。大多數的企業(yè)均在安全方面都做過(guò)或多或少的培訓工作，來(lái)確保發(fā)生安全事件人員有足夠的能力和應急措施去應對。但是為什么在這么多工作的前提下，員工在遇到真實(shí)的釣魚(yú)攻擊還是會(huì )大片的淪陷?這是因為員工沒(méi)有養成防釣魚(yú)的潛意識以及不同場(chǎng)景下的思考決策能力。綜合學(xué)習整理國外兩大安全意識培訓公司的方案，給出以下三大指標：1）課程完成率；2）知識吸收轉換率；3）非測試期間活動(dòng)檢測率。

2. 網(wǎng)絡(luò )釣魚(yú)演練關(guān)鍵指標。除去安全培訓，最直接檢測員工安全意識的辦法就是進(jìn)行模擬釣魚(yú)演練。通過(guò)打開(kāi)率、點(diǎn)擊率、上報率和彈性系數等四項指標，他們從不同維度和場(chǎng)景體現出了實(shí)施者的技術(shù)、員工的安全意識、組織的安全建設完善程度。

在眾多的安全防御手段中，通過(guò)網(wǎng)絡(luò )釣魚(yú)演習提高員工安全意識和釣魚(yú)郵件識別能力，是在當前防御愈演愈烈的網(wǎng)絡(luò )安全形勢下，最經(jīng)濟的一種防御手段。因此未來(lái)企業(yè)安全建設工作中，要做到有效提升員工安全意識，就需要做到網(wǎng)絡(luò )釣魚(yú)演習標準化、指標化，員工安全意識可度量。