企業(yè)的安全態(tài)勢是指網(wǎng)絡(luò )安全準備情況的總體狀況。

    安全態(tài)勢是指一個(gè)組織的整體網(wǎng)絡(luò )安全實(shí)力及其預測、預防和應對不斷變化的網(wǎng)絡(luò )威脅的能力。

    企業(yè)的安全態(tài)勢是指其識別和應對網(wǎng)絡(luò )攻擊的整體能力。它涉及查看企業(yè)網(wǎng)絡(luò )的各個(gè)方面并識別潛在的弱點(diǎn)。

    由于企業(yè)中有數以萬(wàn)計的資產(chǎn)，并且每項資產(chǎn)都容易受到無(wú)數攻擊媒介的影響，因此組織可能會(huì )受到幾乎無(wú)限的排列組合攻擊。隨著(zhù)攻擊面規模的急劇增加，網(wǎng)絡(luò )安全團隊需要處理大量復雜問(wèn)題：漏洞管理、安全控制、檢測攻擊、事件響應、恢復、合規性、報告等等。

    安全狀況衡量的是：

• 您對資產(chǎn)庫存和攻擊面的可見(jiàn)性級別

• 您為保護企業(yè)免受網(wǎng)絡(luò )攻擊而采取的控制措施和流程

• 您檢測和遏制攻擊的能力

• 您對安全事件做出反應并從中恢復的能力

• 安全程序中的自動(dòng)化程度

    圖 1 顯示了您的安全態(tài)勢的各種元素的概念圖。

    （1）IT 資產(chǎn)清單

    組織的安全狀況的核心是所有資產(chǎn)的準確清單。這包括所有本地、云、移動(dòng)和第 3 方資產(chǎn)；管理或非管理資產(chǎn)；應用程序和基礎設施，根據地理位置進(jìn)行編目，以及它們是否面向互聯(lián)網(wǎng)（周邊資產(chǎn)）或不面向互聯(lián)網(wǎng)（核心資產(chǎn)）。

     了解每項資產(chǎn)的業(yè)務(wù)重要性也非常重要，因為這是計算違規風(fēng)險的重要組成部分。您需要能夠以美元（或歐元、英鎊、日元等）的形式表達被破壞資產(chǎn)的預期業(yè)務(wù)影響。

    （2）安全控制和有效性

    圍繞這個(gè)核心是已部署的網(wǎng)絡(luò )安全控制的枚舉。部署一些控制措施（例如防火墻和端點(diǎn)）是為了防止攻擊。入侵檢測系統 ( IDSes ) 和 SIEM 等其他系統參與檢測越過(guò)保護控制的攻擊。需要額外的工具和流程來(lái)響應此類(lèi)攻擊并從中恢復。

    重要的是不僅要能夠列舉您的控制措施，還要了解每個(gè)控制措施在降低網(wǎng)絡(luò )風(fēng)險方面的有效性。

    （3）攻擊向量

     下一個(gè)環(huán)列出了各種攻擊向量。攻擊向量是對手用來(lái)破壞或滲透組織的網(wǎng)絡(luò )的方法。攻擊媒介有許多不同的形式，從惡意軟件和勒索軟件到中間人攻擊、泄露的憑據和網(wǎng)絡(luò )釣魚(yú)。一些攻擊媒介針對您的安全和整體基礎架構中的弱點(diǎn)，其他攻擊媒介針對有權訪(fǎng)問(wèn)您的網(wǎng)絡(luò )的人類(lèi)用戶(hù)。

    （4）攻擊面

    組織的資產(chǎn)清單和攻擊向量的組合構成了組織的攻擊面。攻擊面由攻擊者可以嘗試使用任何破壞方法未經(jīng)授權訪(fǎng)問(wèn)任何資產(chǎn)的所有方式來(lái)表示。

    （5）安全態(tài)勢自動(dòng)化

    安全狀況的一個(gè)關(guān)鍵方面是自動(dòng)化程度。攻擊者不斷使用自動(dòng)化技術(shù)探查組織的防御措施。每個(gè)月都會(huì )披露數百個(gè)新漏洞。僅僅能夠列出您的庫存、修復組織的漏洞并不時(shí)檢查組織的控制是不夠的。組織將需要自動(dòng)化安全態(tài)勢管理，以領(lǐng)先于對手。

    （6）改善安全態(tài)勢

    為了了解和優(yōu)化組織的安全狀況，需要：

• 分析當前的安全狀況

• 確定可能的差距（安全態(tài)勢評估）

• 采取行動(dòng)消除這些差距（安全態(tài)勢轉變）