■ 北京 王立

編者按：如今很少有企業(yè)能夠?qū)λ褂玫陌踩a(chǎn)品或解決方案進行驗證，這在應(yīng)對復(fù)雜多變的安全形勢下是十分不利的，企業(yè)應(yīng)當(dāng)實施深入的測試來彌補這些風(fēng)險。

想必網(wǎng)絡(luò)安全人員都熟悉“信任但要驗證”（Trust but Verify）一詞。但不幸的是，每當(dāng)涉及到保護網(wǎng)絡(luò)時，大多數(shù)企業(yè)都依賴于信任，但是并沒有或很少驗證其安全解決方案是否能夠正常工作。

最近一項對安全運營有效性進行的調(diào)查發(fā)現(xiàn)，只有37%的安全專業(yè)人員會明確地驗證其安全產(chǎn)品是否已正確配置和運行。這種缺乏測試和驗證的行為將可能直接導(dǎo)致企業(yè)遭受破壞性的網(wǎng)絡(luò)攻擊。

其中一半的調(diào)查受訪者表示，他們發(fā)現(xiàn)在企業(yè)遭到網(wǎng)絡(luò)攻擊后，才會有一個或多個安全解決方案按預(yù)期發(fā)揮作用。在網(wǎng)絡(luò)防御中存在這樣的薄弱環(huán)節(jié)，那么接下來的這組數(shù)據(jù)也就不足為奇了：有75%的受訪者表示企業(yè)在過去的一年中經(jīng)歷了一次漏洞威脅（例如未經(jīng)授權(quán)的入侵、惡意軟件的感染或黑客入侵），在過去三年中，有47%的用戶發(fā)生過三次或以上的數(shù)據(jù)泄露事件。

企業(yè)實施深入的測試策略來彌補這些安全漏洞并減少被破壞的風(fēng)險，而不是簡單地信任并希望其安全產(chǎn)品按預(yù)期工作，理解這一點是至關(guān)重要的。但是該策略應(yīng)包括什么？

測試的三個“P”

在制定有效的安全測試策略時，需要考慮三個“P”：

·產(chǎn)品，部署涵蓋跨企業(yè)網(wǎng)絡(luò)及其配置的安全工具。

·流 程，涵蓋如何安裝和維護這些安全產(chǎn)品或服務(wù)，包括如何管理和升級補丁。

·人員，主要關(guān)注IT和安全團隊?wèi)?yīng)對網(wǎng)絡(luò)事件的能力，但還應(yīng)包括企業(yè)的員工。

測試安全產(chǎn)品

測試產(chǎn)品包括評估每個安全工具或服務(wù)的性能，以確保其達到預(yù)期的吞吐量、過濾和阻斷流量的水平。它涉及檢查是否沒有任何可被黑客識別和利用的錯誤配置（例如未更改的出廠默認密碼），它還應(yīng)包括評估解決方案之間任何可能的功能重疊。

在該調(diào)查中，2/3的受訪者表示他們的安全工具的功能有重疊的現(xiàn)象，當(dāng)然，用戶也表示這種重疊是無意的。換句話說，企業(yè)只是將安全產(chǎn)品添加到其安全結(jié)構(gòu)中，而沒有適當(dāng)?shù)卦u估是否真正需要它們，或檢查現(xiàn)有解決方案是否已配置并正常工作。

這些安全工具功能無法充分發(fā)揮作用也會導(dǎo)致安全預(yù)算的浪費，IT和安全團隊的時間也會白白消耗，同時擴大了企業(yè)的攻擊面。79%的用戶表示，如果他們認為某項安全產(chǎn)品無效，就會從名單中刪除該產(chǎn)品。毫無疑問，這種做法對于企業(yè)整體的安全防護是不利的。產(chǎn)品測試可增強企業(yè)的安全狀況，并有助于有效利用安全預(yù)算和資源。

測試流程

為確保企業(yè)網(wǎng)絡(luò)中不會留下任何被輕易找到的后門，企業(yè)必須定期對軟件版本進行檢查，確保及時更新最新應(yīng)用軟件補丁程序，來有效地管理和維護安全產(chǎn)品。鑒于新威脅和新惡意軟件變種的不斷涌現(xiàn)，這種檢查和更新操作至少應(yīng)每月進行一次。

根據(jù)CVE披露的數(shù)據(jù)，2019年出現(xiàn)了超過12000個新漏洞，其中1100個以上為嚴重漏洞，平均每個月就有90多個。因此保持產(chǎn)品更新和定期測試將有助于彌補企業(yè)安全架構(gòu)方面的漏洞。

培訓(xùn)事宜

沒有哪個企業(yè)能夠做到完全自動化的安全，安全團隊需要定期處理各種突發(fā)情況，與安全產(chǎn)品和解決方案相互補充，以彌補安全產(chǎn)品的不足，而不是成為安全的短板。但該調(diào)查顯示，只有不到一半的用戶表示會定期演練在經(jīng)歷安全事件后如何進行補救和恢復(fù)。團隊需要針對網(wǎng)絡(luò)事件場景進行積極演練，才能確保在網(wǎng)絡(luò)攻擊真正發(fā)生后進行高效響應(yīng)。不止是安全團隊，培訓(xùn)對象還應(yīng)該擴展到企業(yè)的每一個員工，涵蓋諸如如何識別惡意電子郵件或網(wǎng)絡(luò)釣魚，以及如何安全保護帳戶憑據(jù)之類的問題。

總之，永遠不能想當(dāng)然地認為企業(yè)安全防護已足夠強大，網(wǎng)絡(luò)犯罪分子在不斷嘗試新的攻擊手段，企業(yè)需要確保與時俱進，保持對防范網(wǎng)絡(luò)攻擊手段的“前瞻性”。這意味著要定期對安全產(chǎn)品、流程和人員進行測試，這樣做也是為了更好、更有效地防范攻擊。