當前，企業(yè)組織面臨越來(lái)越多的網(wǎng)絡(luò )安全威脅，在資源和專(zhuān)業(yè)人才有限的情況下，借助新一代安全技術(shù)實(shí)現企業(yè)安全運營(yíng)工作自動(dòng)化成為企業(yè)的必然選擇。SOAR（安全編排自動(dòng)化與響應）技術(shù)因其在安全自動(dòng)化響應方面獨具優(yōu)勢，能夠幫助企業(yè)解決安全事件響應過(guò)程中人員短缺、改進(jìn)警報分類(lèi)質(zhì)量和速度等問(wèn)題，受到更多企業(yè)用戶(hù)的關(guān)注。

從實(shí)戰角度看，SOAR 有三個(gè)核心思想：一是安全分析處置經(jīng)驗總結固化重用；二是安全分析處置操作盡可能自動(dòng)化；三是 SIEM、安管、態(tài)勢感知等產(chǎn)品的能力延伸。SOAR 建設不是一蹴而就的，按照經(jīng)驗其合理的推進(jìn)過(guò)程為：首先，建立 SIEM、安管、態(tài)勢感知等平臺，匯聚安全數據，建立專(zhuān)業(yè)安全運營(yíng)團隊，實(shí)現安全數據集中化研判分析；其次，建立 SOAR 平臺，將安全運營(yíng)團隊中最常開(kāi)展的研判分析任務(wù)固化為劇本，開(kāi)展自動(dòng)化輔助研判；最后，完善 SOAR 劇本庫，根據大部分安全運營(yíng)團隊工作，梳理可固化的劇本，接入所需聯(lián)動(dòng)對象，提升完善 SOAR 劇本庫，最大化地開(kāi)展自動(dòng)化運營(yíng)。

SOAR 的本質(zhì)是通過(guò)安全編排、自動(dòng)化與響應技術(shù)將安全運營(yíng)相關(guān)的人、技術(shù)和流程進(jìn)行整合，有序處理多源異構數據，持續進(jìn)行安全告警分診與調查、攻擊分析、威脅處置、事件響應，衡量并改善安全運營(yíng)效率、簡(jiǎn)化安全運營(yíng)管理、為安全團隊賦能。其短期目標是實(shí)現手動(dòng)任務(wù)和重復性任務(wù)的自動(dòng)化，縮短威脅的補救時(shí)間，長(cháng)期目標是從綜合安全運營(yíng)視角找到可以量化、標準化的抓手去提升安全運營(yíng)成熟度。

調研機構Forrester Research公司在最近發(fā)布的一份調查報告中指出，只有18%的企業(yè)優(yōu)先將安全支出用于構建專(zhuān)門(mén)的內部威脅計劃，25%企業(yè)則將支出用于防范外部威脅。內部威脅計劃協(xié)調不同業(yè)務(wù)部門(mén)的政策、程序和流程，以應對內部威脅。它被廣泛認為對緩解內部威脅至關(guān)重要，企業(yè)該如何開(kāi)始構建內部威脅計劃呢？

首先，企業(yè)需要專(zhuān)門(mén)的工作組來(lái)幫助指導內部威脅計劃。工作組成員需要有明確的角色和責任，并采用同一套道德準則或簽署保密協(xié)議。這是因為有許多與員工隱私和監控相關(guān)的法律，以及在制定和執行政策時(shí)必須考慮的法律和擔憂(yōu)。工作組的第一項工作將是制定運營(yíng)計劃，并制定防范內部威脅政策的高級版本。然后，他們需要考慮如何盤(pán)點(diǎn)和訪(fǎng)問(wèn)內部和外部數據源。為此，工作組成員需要熟悉特定數據集的記錄處理和使用程序。一旦創(chuàng )建了收集、整合和分析數據所需的流程和程序，應該根據數據的用途對數據進(jìn)行標記。

實(shí)施內部威脅計劃的目的是確保不僅業(yè)務(wù)、數據或流程受到保護，而且員工也受到保護。通過(guò)秘密監控工作流，可以更準確地標記危害指標，幫助防止事件升級。但是，當不可想象的事情發(fā)生時(shí)，如果毫無(wú)戒心的員工泄露了敏感數據，那么擁有強大的可防御流程(這些流程已經(jīng)記錄了事件)，就可以更輕松地進(jìn)行數字取證調查，并迅速解決問(wèn)題。

數字化讓世界變得越來(lái)越小，信息變的越來(lái)越有價(jià)值，數字化也增加了帳號信息泄露、計算機遭竊取及劫持等風(fēng)險，主要是惡意軟件攻擊、勒索錢(qián)財，不過(guò)并非沒(méi)有辦法，跟隨五項安全基本原則幫您抵御惡意/勒索軟件攻擊。

1.了解常見(jiàn)的網(wǎng)絡(luò )釣魚(yú)例子。用來(lái)網(wǎng)絡(luò )釣魚(yú)的電子郵件通常還包含附件或鏈接，建議不要打開(kāi)這些可疑的電子郵件并且立即將它刪除。

2. 設置雙重身份驗證。大多數的服務(wù)現在都提供雙重身份驗證功能，尤其是涉及敏感個(gè)人數據時(shí)，以防黑客攻擊。

3. 部署SSL證書(shū)以確保安全。部署SSL證書(shū)，網(wǎng)站實(shí)現https加密，可以驗證網(wǎng)站的真實(shí)性，辨別釣魚(yú)網(wǎng)站。

4. 避開(kāi)可疑鏈接、郵件和附件。平時(shí)在上網(wǎng)時(shí)一定要謹慎，千萬(wàn)要避開(kāi)這些不安全的鏈接、郵件或附件。

5. 彌補系統漏洞。定期全面檢查企業(yè)現行辦公系統和應用，發(fā)現漏洞后，及時(shí)進(jìn)行系統修復，避免漏洞被黑客利用造成機密泄露。

卡內基梅隆大學(xué)軟件工程研究所的研究員 Rachel Kartch建議組織實(shí)施四個(gè)最佳實(shí)踐來(lái)緩解 DDoS 攻擊。

1）使架構盡可能具有彈性。組織應分散資產(chǎn)以避免向攻擊者展示有吸引力的目標。將服務(wù)器部署在不同的數據中心，確保數據中心位于不同的網(wǎng)絡(luò )，路徑多樣，確保數據中心和網(wǎng)絡(luò )不存在瓶頸和單點(diǎn)故障。

2）部署可以處理 DDoS 攻擊的硬件。組織應使用旨在保護網(wǎng)絡(luò )資源的網(wǎng)絡(luò )和安全硬件中的設置。許多下一代網(wǎng)絡(luò )防火墻、Web 應用程序防火墻和負載均衡器可以防御協(xié)議和應用程序攻擊。還可以部署專(zhuān)業(yè)的 DDoS 緩解設備。

3）擴大網(wǎng)絡(luò )帶寬。如果組織負擔得起，他們應該擴展帶寬以吸收容量攻擊。對于沒(méi)有財務(wù)資源來(lái)投資更多帶寬的小型組織而言，這一步可能很困難。

4）使用 DDoS 緩解提供商。組織可以求助于專(zhuān)門(mén)響應 DDoS 攻擊的大型提供商，方法是使用云清理服務(wù)來(lái)處理攻擊流量，在流量到達組織網(wǎng)絡(luò )之前將其轉移到緩解中心。

1）數據安全治理評估。開(kāi)展數據風(fēng)險發(fā)現過(guò)程——數據安全治理評估——才能對自身業(yè)務(wù)最核心的數據安全風(fēng)險采取技防監測、控制手段解決，

2）數據安全組織結構建設。在開(kāi)展組織架構建設時(shí)，需要考慮組織層面實(shí)體的管理團隊及執行團隊，同時(shí)也要考慮虛擬的聯(lián)動(dòng)小組，所有部門(mén)均需要參與安全建設當中

3）數據安全管理制度建設。從業(yè)務(wù)數據安全需求、數據安全風(fēng)險控制需要及法律法規合規性要求等幾個(gè)方面進(jìn)行梳理，最終確定數據安全防護的目標、管理策略及具體的標準、規范、程序等。

4）數據安全技術(shù)保護體系建設。具體保護要求及措施，可參照國家相關(guān)法律、法規、標準及自身的數據安全相關(guān)管理制度、規范、標準執行。

5）數據安全運營(yíng)管控建設。數據安全保障體系因其業(yè)務(wù)的持續性，需要進(jìn)行長(cháng)期性服務(wù)，建立完善的數據安全運營(yíng)團隊是必然選擇。

6）數據安全監管。公安機關(guān)作為監管單位，將依法履職盡責，對數據處理者履行數據風(fēng)險監測與風(fēng)險評估等數據安全保護義務(wù)等行為依法開(kāi)展監督管理。

數據安全保障體系六步走，共分為數據安全治理評估、數據安全組織結構建設、數據安全管理制度建設、數據安全技術(shù)保護體系建設、數據安全運營(yíng)管控建設、數據安全監管建設。數據安全保障體系建設需要明確“技術(shù)”與“管理”并重思路，把“技術(shù)”作為“管理”的延續，即基于數據全生命周期構建數據安全指標，借助豐富的數據安全監測手段以及快速響應機制等，通過(guò)技術(shù)手段的不斷進(jìn)步逐一落實(shí)數據安全管理目標。

據Bleeping Computer消息，安全研究人員發(fā)現了一種新型的惡意軟件傳播活動(dòng)，攻擊者通過(guò)使用PDF附件夾帶惡意的Word文檔，從而使用戶(hù)感染惡意軟件。

類(lèi)似的惡意軟件傳播方式在以往可不多見(jiàn)。在大多數人的印象中，電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道。隨著(zhù)人們對電子釣魚(yú)郵件的警惕性越來(lái)越高，攻擊者開(kāi)始轉向其他的方法來(lái)部署惡意軟件并逃避檢測。其中，使用PDF來(lái)傳播惡意軟件就是攻擊者選擇的方向之一。在HP Wolf Security最新發(fā)布的報告中，詳細說(shuō)明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具，這些宏在受害者的機器上下載和安裝信息竊取惡意軟件。在HP Wolf Security發(fā)布的報告中，攻擊者向受害人發(fā)送電子郵件，附件被命名為“匯款發(fā)票”的PDF文件，而電子郵件的正文則是向收件人付款的模糊話(huà)術(shù)。當用戶(hù)打開(kāi)PDF文件時(shí)，Adobe Reader會(huì )提示用戶(hù)打開(kāi)其中包含的DOCX文件。攻擊者巧妙地將嵌入的Word文檔命名為“已驗證”，那么彈出的“打開(kāi)文件”提示聲明就會(huì )變成文件是“已驗證的”。此時(shí)，出于對Adobe Reader或其他PDF閱讀器的信任，很多用戶(hù)就會(huì )被誘導下載并打開(kāi)該惡意文件，惡意軟件也就進(jìn)入了受害者的電腦中。

數據訪(fǎng)問(wèn)管理是組織進(jìn)行的一個(gè)過(guò)程，用于確定誰(shuí)可以訪(fǎng)問(wèn)哪些數據資產(chǎn)。使公司能夠保護機密信息、定義數據所有權并實(shí)施托管訪(fǎng)問(wèn)控制，使用戶(hù)能夠實(shí)現數據驅動(dòng)的創(chuàng )新。實(shí)施成功的數據訪(fǎng)問(wèn)管理的步驟包括：

1）發(fā)現和分類(lèi)敏感數據。一旦發(fā)現所有數據的存儲位置，需要采取進(jìn)一步的步驟來(lái)標記、分類(lèi)和評分它的敏感性。當數據是正確分類(lèi)，可以集中精力保護最敏感的數據資產(chǎn)。將能夠更有效地查明資源和工作。

2）分配訪(fǎng)問(wèn)控制。用在數據訪(fǎng)問(wèn)管理計劃的第一階段完成的風(fēng)險評估，可以為各個(gè)業(yè)務(wù)用戶(hù)創(chuàng )建訪(fǎng)問(wèn)控制。但是，與其逐個(gè)用戶(hù)授予訪(fǎng)問(wèn)權限，不如根據定義的角色、職責和分類(lèi)來(lái)分配權限。

3）分析用戶(hù)行為。該過(guò)程目的是分析業(yè)務(wù)用戶(hù)如何更改、復制、創(chuàng )建或刪除貴公司系統中的敏感數據。此分析將能夠確定用戶(hù)是否有權進(jìn)行他們所做的修改以及是否需要撤消任何更改。

4）審查合規要求。對于許多監管機構來(lái)說(shuō)，仍然需要通過(guò)填寫(xiě)合規證書(shū)來(lái)證明不會(huì )違反任何合規性法規。