編者按： 一項(xiàng)安全策略不是一成不變的，因此，企業(yè)不是在制定完成安全策略之后就萬(wàn)事大吉了，還需要不斷的評(píng)估和修改當(dāng)前的策略，以適應(yīng)迅速變化的威脅。本文討論10 點(diǎn)建議，幫助企業(yè)評(píng)估安全策略的有效性。

在企業(yè)實(shí)施網(wǎng)絡(luò)安全建設(shè)的時(shí)候，制定策略和規(guī)劃是非常重要的。具有戰(zhàn)略意義的安全策略要比那些毫無(wú)章法的程序式安全制度有效得多。話雖如此，有時(shí)企業(yè)制定的安全策略在實(shí)施一定時(shí)間之后也可能不再適合新的形勢(shì)。這時(shí)企業(yè)應(yīng)該怎么辦呢？是繼續(xù)實(shí)行下去還是謀求改變？

在考慮這些方面之前，企業(yè)組織如何確定當(dāng)前的安全策略不再有意義呢？筆者提供以下10 點(diǎn)，來(lái)衡量一個(gè)企業(yè)的是否到了要更改策略的時(shí)候了：

應(yīng)對(duì)突發(fā)事件

有時(shí)，重大的突發(fā)事件不僅給企業(yè)帶來(lái)挑戰(zhàn)，甚至改變歷史進(jìn)程。這些重大突發(fā)事件看似遙遠(yuǎn)，實(shí)則不然，比如當(dāng)下發(fā)生的“新冠”病毒疫情事件。也許在此之前您的組織尚不允許遠(yuǎn)程工作，或者某些業(yè)務(wù)或交易需要親自到場(chǎng)才能完成，又或者某些業(yè)務(wù)程序過(guò)分依賴人際互動(dòng)。如果沒(méi)有應(yīng)對(duì)這場(chǎng)突發(fā)事件的能力，那么它將足以改變您的企業(yè)發(fā)展進(jìn)程。在網(wǎng)絡(luò)安全策略方面也需要具備這種應(yīng)對(duì)突發(fā)事件的內(nèi)容，如果這場(chǎng)疫情讓您手忙腳亂，那么現(xiàn)在正是重新評(píng)估應(yīng)對(duì)突發(fā)事件能力好機(jī)會(huì)。

合規(guī)性

對(duì)于許多安全團(tuán)隊(duì)來(lái)說(shuō)，出現(xiàn)重大違規(guī)行為是一件極其嚴(yán)重的問(wèn)題。并且其背后一定隱藏著更多不當(dāng)之處。例如，出現(xiàn)數(shù)據(jù)泄露事件，該問(wèn)題如何發(fā)生的？企業(yè)將面臨怎樣的安全以及法律乃至其他名譽(yù)方面的風(fēng)險(xiǎn)？企業(yè)可以采取什么措施來(lái)予以應(yīng)對(duì)？這一系列問(wèn)題不勝枚舉。如果現(xiàn)在發(fā)現(xiàn)您的企業(yè)安全策略中尚有此類隱患，則需要立即對(duì)其進(jìn)行更改。

生產(chǎn)力問(wèn)題

一個(gè)優(yōu)秀的安全團(tuán)隊(duì)絕不會(huì)是天天處于閑暇時(shí)光。一般更為常見(jiàn)的情況是，安全團(tuán)隊(duì)為應(yīng)對(duì)各種問(wèn)題而處于忙碌之中。話雖如此，通過(guò)適當(dāng)?shù)墓芾砗陀?jì)劃，繁忙的安全團(tuán)隊(duì)可以實(shí)現(xiàn)更高生產(chǎn)力。如果糟糕的管理和計(jì)劃導(dǎo)致生產(chǎn)力問(wèn)題持續(xù)困擾企業(yè)的安全團(tuán)隊(duì)，那么可能就該改變安全策略了。

效率問(wèn)題

一個(gè)好的計(jì)劃能夠產(chǎn)生高效率的工作方式，這些高效率方式可以節(jié)省組織的時(shí)間和金錢(qián)。但是，如果工作流在某些方面不斷陷入困境，則通常表明安全團(tuán)隊(duì)正面臨效率問(wèn)題。在這種情況下，值得重新評(píng)估安全策略并確定哪些內(nèi)容是低效的，這些方面可以優(yōu)先考慮提高效率。

SLA（服務(wù)等級(jí)協(xié)議）挑戰(zhàn)

組織未達(dá)到其SLA 可能有多種原因，SLA 可能是不合理的，或者涉及第三方或其他利益相關(guān)者，也或者是某些流程需要更改。但無(wú)論是什么原因，都必須充分了解它們，然后重新進(jìn)行評(píng)估。

誤報(bào)

太多的安全團(tuán)隊(duì)被誤報(bào)信息所淹沒(méi)，這些誤報(bào)帶來(lái)的噪音和額外的處理精力不僅浪費(fèi)了寶貴的時(shí)間，而且掩蓋了亟需解決的真正安全威脅。如果組織的檢測(cè)和響應(yīng)工作流程被誤報(bào)信息所淹沒(méi)，那么是時(shí)候重新考慮檢測(cè)和響應(yīng)能力，尤其是與開(kāi)發(fā)告警內(nèi)容有關(guān)的方面。

漏報(bào)

漏報(bào)與誤報(bào)同等嚴(yán)重，可能有些安全問(wèn)題事出偶然或者微乎其微而未引起人們的注意，或者是安全工具本身的不足而漏掉某些安全線索，乃至問(wèn)題持續(xù)了一段時(shí)間之后才引起安全團(tuán)隊(duì)注意，這些都將給企業(yè)帶來(lái)一定的安全隱患。如果需要由第三方來(lái)不斷地提醒安全團(tuán)隊(duì)遺漏了什么問(wèn)題，那么這一跡象需要引起警惕，同時(shí)也表明可能是時(shí)候重新審查檢測(cè)和響應(yīng)計(jì)劃了。

漏洞修復(fù)

眾所周知，未修補(bǔ)的漏洞會(huì)使企業(yè)IT 環(huán)境面臨極大的安全風(fēng)險(xiǎn)。但是，我們大多數(shù)人僅僅借助安全工具檢測(cè)和修復(fù)漏洞，可能并不會(huì)在意和理解這些漏洞背后的安全根源問(wèn)題，這也是企業(yè)可能在修復(fù)漏洞方面存在的誤區(qū)。重要的是要調(diào)查并理解為什么會(huì)存在這些漏洞。一旦了解了根本原因，安全風(fēng)險(xiǎn)就會(huì)得到極大的降低。

補(bǔ)救措施

滲透測(cè)試、應(yīng)用程序風(fēng)險(xiǎn)評(píng)估和其他安全功能會(huì)不斷產(chǎn)生安全數(shù)據(jù)。如果這些威脅很難補(bǔ)救，那么之前的措施都將毫無(wú)意義。一旦確定了一個(gè)或多個(gè)薄弱環(huán)節(jié)，就必須要有解決和補(bǔ)救這些問(wèn)題的措施。

第三方風(fēng)險(xiǎn)

第三方安全風(fēng)險(xiǎn)是一個(gè)近期比較受關(guān)注的話題，這是有充分原因的。很多時(shí)候我們都在盡最大的努力來(lái)保護(hù)自身企業(yè)的安全，但是被忽視的第三方供應(yīng)商及合作伙伴可能缺乏足夠的安全能力，也可能會(huì)使我們的企業(yè)面臨巨大的風(fēng)險(xiǎn)。

如何評(píng)估和減輕來(lái)自第三方的安全風(fēng)險(xiǎn)是至關(guān)重要的。如果此時(shí)您在這些方面還沒(méi)有做出充足的準(zhǔn)備，那么現(xiàn)在的安全策略就該立即做出改變了。