網絡威脅形勢正在迅速發展，每個企業都面臨風險。隨著自動化程度的提高和越來越活躍的網絡威脅參與者，沒有任何組織“太小而不能成為目標”。每家公司都有可能對攻擊者有價值的數據，或者如果被勒索軟件加密，可能會獲取贖金。2021 年，全球有四分之一的公司受到勒索軟件的影響，比上一年增加了 59%。

組織的網絡風險水平取決于各種因素。雖然組織的規模及其運營所在的行業發揮著作用，但企業安全戰略和當前的網絡安全解決方案架構也發揮著作用。每家公司都將成為網絡攻擊的目標，而業務連續性取決于組織對這些威脅做出適當響應的能力。網絡安全戰略是組織為降低網絡風險和防范網絡大流行而制定的計劃。

如何為您的企業制定網絡安全戰略

企業網絡安全戰略應根據組織的獨特安全需求量身定制。不同行業和地點的小型、中型和大型企業可能面臨非常不同的威脅并具有不同的安全要求。在這里，我們整理了六個步驟，讓您開始制定和實施有效的網絡安全戰略。

#1、了解網絡威脅形勢

每個組織都面臨著取決于各種因素的獨特網絡威脅環境。年復一年，網絡威脅參與者都將精力集中在不同類型的攻擊上，例如最近激增的勒索軟件活動。當某些威脅行為者針對某些行業或地理區域時，組織的行業和位置起著重要作用。一家公司面臨的網絡威脅也可能受到其他因素的影響，例如它是否擁有基于云的基礎設施、物聯網系統是否連接到公司網絡，或者互聯網和暗網上的可用數據類型。

有效的網絡安全戰略需要清楚地了解組織可能面臨的網絡威脅。公司可以深入了解來自各種來源的潛在威脅，包括：

• 過去對企業的攻擊
• 針對業內其他業務的攻擊
• 威脅情報源

在確定可能面臨的威脅后，組織可以制定策略來預防和防范這些威脅。然后可以部署網絡安全解決方案、流程和程序，以最大限度地提高它們對公司風險敞口的影響。例如，部署反勒索軟件防御應該是當前網絡威脅形勢的主要優先事項。

#2、評估您的網絡安全成熟度

平均而言，組織將大約 21% 的 IT 預算用于網絡安全，因此中小型企業的安全計劃可用的資源與財富 500 強公司的資源有很大不同。公司的年齡、資源可用性、監管要求和其他因素都會影響組織的網絡安全成熟度。這些不同的成熟度水平會影響組織遭受成功攻擊的可能性及其對公司的影響。

網絡安全成熟度評估從組織 IT 基礎設施的清單開始。了解公司擁有的 IT 資產及其收集、存儲和處理的數據類型，有助于深入了解組織需要管理的安全風險類型。例如，處理高價值財務或醫療保健數據的組織需要實施比處理不太敏感數據的組織更嚴格的數據隱私和分類安全控制。此外，不同類型的 IT 設備和基礎設施面臨不同的安全風險，必須加以管理。

在確定組織的資產及其相關威脅和風險后，公司可以開始將其現有的安全控制與保護這些資產所需的安全控制進行比較。在評估安全成熟度時，合規標準、框架和基準可能是有用的工具。

#3、利用安全基準和合規標準

制定有效的安全策略似乎勢不可擋。但是，組織不需要從頭開始。存在許多資源，它們為如何實施安全最佳實踐和為組織制定有效的安全策略提供指導。

組織可能選擇采用的安全基準、標準和框架取決于其安全計劃的目標。在許多情況下，公司受到各種法規的約束，這些法規要求他們應該如何保護敏感數據。例如，美國的醫療保健信息受到健康保險可攜帶性和可訪問性法案 (HIPAA)的保護，支付卡持有人的數據屬于支付卡行業數據安全標準 (PCI DSS) 的管轄范圍，以及其他數據隱私歐盟通用數據保護條例 (GDPR) 等法律保護其他人群或數據類型。

公司還可以選擇遵守可選標準，例如ISO 27001或SOC2。如果組織受這些法規的約束，那么標準概述的所需安全控制是網絡安全戰略的良好起點。

如果組織的安全策略是內部驅動的，則存在許多標準和框架來幫助實現這一點，并且還可以支持合規性工作。一些示例包括NIST網絡安全框架 (NIST CSF) 和互聯網安全中心 (CIS) 前 20 名控制。這些標準包括網絡安全最佳實踐，使組織能夠將其安全戰略與 HIPAA 和PCI DSS等法規保持一致。

#4、同時利用預防和檢測方法

通過以檢測為中心的安全策略，組織部署了旨在識別潛在威脅并觸發事件響應的網絡安全解決方案。然而，雖然威脅檢測是網絡安全策略的一個有用組成部分，但它本質上是被動的。當組織采取行動時，威脅已經存在并且可能存在于組織的系統中，從而為攻擊者提供了竊取數據、造成損害或采取其他惡意行動的機會。

有效的網絡安全策略側重于威脅預防而不是威脅檢測。通過識別組織可能受到攻擊的各種方式并縮小這些安全漏洞，組織可以消除攻擊對組織的潛在風險和成本。應盡可能使用威脅預防解決方案來消除威脅，并應得到檢測技術的支持，使組織能夠識別和響應繞過漏洞的攻擊。

#5、設計網絡安全架構

了解網絡威脅形勢和組織當前的安全成熟度有助于深入了解安全策略應解決的問題。通過以預防為重點的方法實施的網絡安全標準為這樣做提供了指導。有了這些信息，公司就可以開始設計網絡安全架構。

網絡安全架構的設計應基于安全最佳實踐。要納入的一些關鍵概念包括：

• 零信任安全：在零信任安全模型下，每個訪問公司資源的請求都會根據具體情況進行評估。評估基于角色的訪問控制和其他風險因素，以確定是否應批準或拒絕請求。通過實施零信任，組織可以降低網絡風險，使威脅行為者更難使用受損帳戶或軟件在不被發現的情況下實現其目標。
• 深度防御：沒有安全解決方案是完美的，攻擊者可能能夠逃避、繞過或禁用單道防線。實施多道防線增加了組織能夠在威脅對業務造成損害之前檢測和響應的可能性。

#6、整合安全基礎設施

安全團隊面臨的最常見挑戰之一是由于獨立安全解決方案的斷開架構而導致的過載和倦怠。組織在其網絡中部署的每個獨立解決方案都必須經過配置、維護和監控才能有效。在人員有限的情況下，與此相關的開銷會導致漏檢、可見性和安全漏洞。

有效的安全策略由統一的安全架構支持。借助集成的安全架構，安全分析師可以從一個位置監控和管理其安全基礎架構。這提供了許多好處，包括：

• 提高可見性：整合的安全架構可讓您從單個儀表板了解組織安全架構的每個部分。這消除了通過在多個解決方案的儀表板上劃分安全監控和管理而造成的可見性差距。
• 更好的性能：整合的安全架構為安全分析師提供了一個單一的儀表板來管理完整的安全架構。這消除了與多個工具之間的上下文切換以及手動聚合和分析來自各種來源的數據相關的低效率。
• 高效覆蓋：整合的安全架構旨在全面覆蓋組織的安全風險。這消除了由獨立安全解決方案創建的安全漏洞或冗余、重疊的功能。
• 降低總體擁有成本：安全整合提高了安全團隊和安全架構的效率 這通過消除冗余和低效率降低了總擁有成本 (TCO)。
• 提高自動化：整合的安全架構將組織安全基礎架構的每個組件連接起來。這可以實現更高的自動化，從而改進威脅檢測和對潛在攻擊的協調響應。