企業(yè)的安全態(tài)勢是指網(wǎng)絡(luò)安全準(zhǔn)備情況的總體狀況。

    安全態(tài)勢是指一個(gè)組織的整體網(wǎng)絡(luò)安全實(shí)力及其預(yù)測、預(yù)防和應(yīng)對不斷變化的網(wǎng)絡(luò)威脅的能力。

    企業(yè)的安全態(tài)勢是指其識(shí)別和應(yīng)對網(wǎng)絡(luò)攻擊的整體能力。它涉及查看企業(yè)網(wǎng)絡(luò)的各個(gè)方面并識(shí)別潛在的弱點(diǎn)。

    由于企業(yè)中有數(shù)以萬計(jì)的資產(chǎn)，并且每項(xiàng)資產(chǎn)都容易受到無數(shù)攻擊媒介的影響，因此組織可能會(huì)受到幾乎無限的排列組合攻擊。隨著攻擊面規(guī)模的急劇增加，網(wǎng)絡(luò)安全團(tuán)隊(duì)需要處理大量復(fù)雜問題：漏洞管理、安全控制、檢測攻擊、事件響應(yīng)、恢復(fù)、合規(guī)性、報(bào)告等等。

    安全狀況衡量的是：

• 您對資產(chǎn)庫存和攻擊面的可見性級(jí)別

• 您為保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊而采取的控制措施和流程

• 您檢測和遏制攻擊的能力

• 您對安全事件做出反應(yīng)并從中恢復(fù)的能力

• 安全程序中的自動(dòng)化程度

    圖 1 顯示了您的安全態(tài)勢的各種元素的概念圖。

    （1）IT 資產(chǎn)清單

    組織的安全狀況的核心是所有資產(chǎn)的準(zhǔn)確清單。這包括所有本地、云、移動(dòng)和第 3 方資產(chǎn)；管理或非管理資產(chǎn)；應(yīng)用程序和基礎(chǔ)設(shè)施，根據(jù)地理位置進(jìn)行編目，以及它們是否面向互聯(lián)網(wǎng)（周邊資產(chǎn)）或不面向互聯(lián)網(wǎng)（核心資產(chǎn)）。

     了解每項(xiàng)資產(chǎn)的業(yè)務(wù)重要性也非常重要，因?yàn)檫@是計(jì)算違規(guī)風(fēng)險(xiǎn)的重要組成部分。您需要能夠以美元（或歐元、英鎊、日元等）的形式表達(dá)被破壞資產(chǎn)的預(yù)期業(yè)務(wù)影響。

    （2）安全控制和有效性

    圍繞這個(gè)核心是已部署的網(wǎng)絡(luò)安全控制的枚舉。部署一些控制措施（例如防火墻和端點(diǎn)）是為了防止攻擊。入侵檢測系統(tǒng) ( IDSes ) 和 SIEM 等其他系統(tǒng)參與檢測越過保護(hù)控制的攻擊。需要額外的工具和流程來響應(yīng)此類攻擊并從中恢復(fù)。

    重要的是不僅要能夠列舉您的控制措施，還要了解每個(gè)控制措施在降低網(wǎng)絡(luò)風(fēng)險(xiǎn)方面的有效性。

    （3）攻擊向量

     下一個(gè)環(huán)列出了各種攻擊向量。攻擊向量是對手用來破壞或滲透組織的網(wǎng)絡(luò)的方法。攻擊媒介有許多不同的形式，從惡意軟件和勒索軟件到中間人攻擊、泄露的憑據(jù)和網(wǎng)絡(luò)釣魚。一些攻擊媒介針對您的安全和整體基礎(chǔ)架構(gòu)中的弱點(diǎn)，其他攻擊媒介針對有權(quán)訪問您的網(wǎng)絡(luò)的人類用戶。

    （4）攻擊面

    組織的資產(chǎn)清單和攻擊向量的組合構(gòu)成了組織的攻擊面。攻擊面由攻擊者可以嘗試使用任何破壞方法未經(jīng)授權(quán)訪問任何資產(chǎn)的所有方式來表示。

    （5）安全態(tài)勢自動(dòng)化

    安全狀況的一個(gè)關(guān)鍵方面是自動(dòng)化程度。攻擊者不斷使用自動(dòng)化技術(shù)探查組織的防御措施。每個(gè)月都會(huì)披露數(shù)百個(gè)新漏洞。僅僅能夠列出您的庫存、修復(fù)組織的漏洞并不時(shí)檢查組織的控制是不夠的。組織將需要自動(dòng)化安全態(tài)勢管理，以領(lǐng)先于對手。

    （6）改善安全態(tài)勢

    為了了解和優(yōu)化組織的安全狀況，需要：

• 分析當(dāng)前的安全狀況

• 確定可能的差距（安全態(tài)勢評(píng)估）

• 采取行動(dòng)消除這些差距（安全態(tài)勢轉(zhuǎn)變）