企业安全态势的七大常见漏洞

Andrew2024-01-31 16:56:29


网络安全是一场跌宕起伏,永无止境的拉锯战。攻击者的技术和手法不断花样翻新,主打一个“避实就虚”和“出奇制胜”;防御者的策略则强调“求之于势,不责于人”,依靠整体安全态势和风险策略的成熟度和韧性来化解风险。


此外,经常被忽视的一点是,基础安全策略和实践同样重要。根据微软2023年数字防御风险报告,良好的基础安全实践可以防御99%的网络攻击。例如,漏洞管理、安全意识培训以及定期的安全评估工作。


本文我们将重点介绍安全评估工作的重要性及常见的七大企业安全态势漏洞。


定期评估安全态势的重要性


企业建设弹性安全态势始于发现和识别现有漏洞。然而,大多数企业的漏洞可见性都很差。当被问及所在企业的漏洞可视性时,只有不到一半的网络安全专业人员表示拥有高(35%)或完全(11%)的可视性。超过半数(51%)的企业对自身的漏洞只有中等的可见性。


定期的安全评估是企业了解自身安全态势和风险的主要方式之一。这些评估会全面审查企业的网络安全实践和基础设施,评估的范围和频率取决于企业的需求和风险管理计划的成熟度。


安全成熟度和与安全评估频率的关系


●未成熟或无风险策略:不定期进行评估,或仅按临时计划进行评估。

●初始或临时风险策略:通常每季度或每月进行一次评估。

●成熟或既定策略:通常每月进行一次评估。

●高级策略:定期评估会纳入整体风险管理计划,每月或每周进行一次。



不同安全成熟度的安全评估频率来源:Armorpoint


常见安全框架的测试频率


NISTCSF:美国国家标准和技术研究院(NIST)的指南根据治理框架的具体指南,从每季度到每月扫描不等。


PCIDSS:支付卡行业数据安全标准(PCIDSS)要求每季度进行扫描。


HIPAA:健康保险可携性责任法案(HIPAA)没有要求具体扫描间隔,但强调制定明确的评估策略的重要性。


定期安全评估任务类型


●漏洞扫描

●渗透测试

●突发事件和勒索软件模拟

●安全声誉扫描

●业务影响分析

●安全态势评估


定期的安全评估就像企业网络的“体检”工作,能够早期发现和识别潜在的安全威胁和漏洞。


安全态势六大常见漏洞


以下是定期安全态势评估发现的企业安全态势七大常见漏洞:


一、缺乏精准漏洞管理能力


在解决了漏洞的可见性问题后,接下来的难题是如何根据漏洞的严重性和潜在影响划分优先级,并有效缓解已知漏洞。


企业必须认识到,漏洞管理是安全运营的“基本功”和关键任务,企业能够处理的漏洞数量远远赶不上漏洞增长的速度。因此,企业如果没有精准高效的漏洞管理能力,安全债和风险就会像滚雪球般越来越大。


二、检测和监控不足


检测系统不足会导致企业对正在进行的威胁视而不见,从而使攻击者能够长时间操作而不被发现。如果没有必要的检测系统,例如先进的入侵检测系统(IDS)或安全信息和事件管理(SIEM)解决方案,企业将面临错过威胁检测、攻击者驻留时间增加以及数据泄露风险增高的风险。因此,企业非常有必要购买先进的监控工具,部署先进的威胁检测和响应技术,利用行为分析进行异常检测,并进行威胁狩猎演习,这些都是增强检测能力的关键措施。


强大的检测和监控能力不仅能加快威胁检测和响应速度,而且有助于企业不断更新和改进检测方法,以领先于网络犯罪分子日新月异的攻击媒介和技术。


三、缺乏全面的安全政策和流程


企业需要正式、全面的网络安全政策和程序来有效管理安全风险,否则会产生许多后果,包括跨部门安全实践不一致、事件响应能力减弱、难以确保合规以及面临更大的法律、监管、财务和声誉后果。制定和实施全面的安全政策涉及明确制定和记录这些政策,确保有效传达给所有员工并教育他们遵守安全政策的重要性。


面对不断变化的网络威胁形势,企业还需要定期审查、更新和调整安全政策,确保网络安全措施的有效性。此外,拥有一套明确定义的流程有助于标准化安全事件响应,这有助于在发生网络攻击事件时减小损失并缩短恢复时间。


四、缺乏渗透测试和安全演练


定期测试安全系统和事件响应计划对于识别防御弱点至关重要。这包括定期进行渗透测试以发现漏洞、创建、演练和不断改进事件响应计划,以及与第三方安全评估公司合作。定期安全测试的重要性不容忽视,因为它不仅有助于在攻击者之前识别漏洞,还可以评估现有安全控制的有效性。


五、网络安全意识培训不足


缺乏安全意识培训的员工更容易成为黑客的猎物,成为击垮整个企业网络安全防御体系的“人肉漏洞”。此外,缺乏安全意识培训还会导致更多配置错误和人为错误,从而降低安全控制的有效性。企业需要提供持续的,高频的网络安全培训、鼓励员工专业化发展并考取安全认证,并高度重视安全意识文化建设。


安全意识培训有助于确保所有级别的员工都具备识别和有效应对安全威胁的能力。通过让员工对威胁保持了解并提高警惕,企业可显著降低人为错误导致的违规风险。最后,积极主动的员工安全意识培训也是企业实施全面网络安全策略的重要组成部分。


六、未采用和实施安全框架


选择并遵循网络安全框架对于建立结构化安全方法的企业至关重要。框架的价值在于能够提供清晰的安全路线图、确保企业与行业最佳实践保持一致,并促进合规。企业可根据自身的特定需求和风险容忍度选择合适的框架(例如NIST网络安全框架),并根据行业和监管需求定制框架以符合企业的独特要求。


安全框架为企业提供了一种结构化方法来管理网络安全风险,可帮助企业部署强大的安全措施和协议,提高企业的整体安全态势。


七、不了解企业风险偏好


安全主管需要充分了解企业的风险偏,好并将其纳入网络安全策略,这一点至关重要。企业愿意接受的风险水平各不相同,这种差异会影响决策和资源分配,使企业网络安全措施与企业的风险偏好和容忍度保持一致。


安全策略并非一成不变,而是受风险信息影响,企业需要监控不断变化的风险并相应调整安全策略。这种方法可以提高网络安全措施的主动性,重点是预测潜在威胁并在攻击发生之前进行遏制。


结语


为了缓解上述安全态势漏洞,建议企业实施行业公认的安全框架,例如NISTCSF、CIS或SANS等。这些框架能帮助企业建立强大的网络安全防御力;有针对性地制定和实施有效的安全政策,并确保员工定期进行安全意识培训。总之,无论是漏洞管理还是安全培训,持续监控和改进至关重要,可及时识别和纠正安全差距。

网络安全漏洞
本作品采用《CC 协议》,转载必须注明作者和本文链接
明确各级网络安全责任人。充分利用云原生技术,推进以微服务模式提供各类安全能力组件接口,推进数字电网安全“中枢”所有专业功能组件分层解耦和接口标准化,建立开放生态,支持后续功能叠加演进。增强产品服务供应链入网安全。提升已入网产品、服务供应链应急能力。实战化锤炼网络安全队伍,加强应急指挥与处置能力。
网络安全漏洞(以下简称“漏洞”)作为信息通信网络中在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,随着经济社会信息化、网络化、数字化和智能化程度的加深,对国家网络安全的影响也日益加剧。世界各主要国家和组织为了切实提升国家网络安全防护能力,围绕漏洞的研究、收集和利用,纷纷建立国家级漏洞通报平台或漏洞数据库。日本于2003年开始建设“日本漏洞通报”(JVN)平台;美国于 2005 年开始建设“
利用网络安全漏洞实施攻击的安全事件频发,使网络安全漏洞治理成为保障国家网络安全的重要议程。当前,囿于在漏洞评级指标、漏洞披露政策以及“白帽子”法律责任层面缺乏整体性考量,我国网络安全漏洞治理框架亟待面向“合作主义”转型。为此,需通过行政与司法的合作明晰“白帽子”法律责任的边界,通过行政部门之间的合作搭建网络安全漏洞协同机制,通过行政与公众的合作拓宽社会公众参与漏洞治理的渠道,协力共筑网络安全漏洞
网络安全漏洞披露已成为网络安全风险控制的中心环节。不规范或非法的网络安全漏洞披露危害网络空间整体安全,凸显法律规定的灰色地带。实践中网络安全漏洞披露表现为不披露、完全披露、负责任披露和协同披露等类型。美国从法律和政策层面分别构建网络安全漏洞披露规则,并根据形势不断进行调整,规则设计呈现从负责任披露到协同披露的变化趋势,国家层面统一的网络安全漏洞披露协调和决策机制也在进一步完善中。我国现行立法从产品
本文是在CNVD数据基础上,针对网络安全产品安全漏洞分布的统计分析,不包含非安全类信息系统,以上请读者悉知。数说安全根据CNVD公开数据整理 下面是2010年至今,CNVD披露的漏洞信息中,最受关注的20个高危漏洞,其中国外产品占据8个,国内产品占据12个。数说安全根据CNVD公开数据整理 来源:数说安全
对企业而言,资产清单必须经常更新,并作为活跃文档加以维护。根据漏洞的严重程度、影响范围和可能性,对漏洞进行分类和排序。漏洞修复计划应该包括漏洞修复的时间表、责任人和所需资源。报告既需要包括已修复的漏洞信息,包括检测到的漏洞、严重程度、完成的补救工作以及确认成功解决等;还应该显示未解决的漏洞,以及未解决的具体原因和下一步计划。因此,企业要创建定期漏洞扫描计划,以便持续监控和快速修复漏洞
网络安全基础设施和安全局周二为联邦民事机构推出了两本手册,用于规划和实施网络安全漏洞和事件响应。
具体来说,HARDEN将通过破坏攻击者使用的持久的漏洞可利用模式,并剥夺攻击者的“紧急执行引擎”,来防止其对集成系统的利用。HARDEN分析和工具将破坏UEFI架构所有抽象层上EE行为的可组合性,以防御最新的威胁并预测未来的威胁。SOSA是由空军生命周期管理中心提出的,具有广泛的行业参与其中。SOSA关注的重点领域是对传感器系统的启动过程进行建模和验证,以确保系统在传感器投入运行之前的完整性。
当今世界正处于百年未有之大变局,国际形势风云变幻,推动全球治理体系深刻变革,网络空间治理作为全球治理的全新命题和重要领域,关系着全人类的命运。
Andrew
暂无描述