在當今的企業(yè)數(shù)字環(huán)境中，網(wǎng)絡(luò)安全建設(shè)早已不是簡單的IT技術(shù)問題，而是被上升到公司數(shù)字化轉(zhuǎn)型發(fā)展和安全生產(chǎn)責(zé)任的治理層面，確保網(wǎng)絡(luò)安全是每個現(xiàn)代企業(yè)組織都應(yīng)努力實現(xiàn)的目標。然而企業(yè)要真正做好網(wǎng)絡(luò)安全工作并不容易，很多組織為網(wǎng)絡(luò)安全建設(shè)付出了巨大的努力和投資，卻始終難以獲得預(yù)期的效果，就像走進了一個巨大的迷宮中，跌跌撞撞的同時也充滿了誤區(qū)和陷阱。

面對以上困擾，Bondgate IT公司運營總監(jiān)Damien Harrison認為，現(xiàn)代企業(yè)需要有一份清晰的行動準則和計劃，來指導(dǎo)企業(yè)如何更有效地開展網(wǎng)絡(luò)安全建設(shè)工作，這樣才能充分發(fā)揮網(wǎng)絡(luò)安全工作的全部價值。通過參考微軟公司的一份學(xué)習(xí)資料《安全的不可變法則》，Harrison梳理總結(jié)了網(wǎng)絡(luò)安全建設(shè)中應(yīng)遵循的10條建設(shè)原則。

法則一、網(wǎng)絡(luò)安全投資是為了獲取價值，而不是追求絕對的安全

企業(yè)在開展網(wǎng)絡(luò)安全建設(shè)時，需要嚴格避免不計成本地追求絕對的安全性。因為在任何商業(yè)活動中，投資和價值都是密不可分的。只有價值才能證明投資的合理性。而在數(shù)字世界中，并不存在絕對的安全性，沒有任何一個系統(tǒng)能夠做到完全不可能被攻破，但是卻可以通過合理的保護措施，使其不會成為攻擊者的主要關(guān)注目標。

在數(shù)字世界中，攻擊者經(jīng)常會尋找最容易攻破的系統(tǒng)，而不是那些需要大量時間、資源和專業(yè)知識的系統(tǒng)。這就是“安全投資回報率”概念發(fā)揮作用的地方。通過明智地投資于合適的網(wǎng)絡(luò)安全措施，組織可以使攻擊者需要更多的投資(時間、精力和工具)才能攻破自身的網(wǎng)絡(luò)系統(tǒng)，從而降低了他們的潛在回報。

因此，與其追求絕對安全的不可能夢想，不如集中精力投資于能夠提高攻擊成本的戰(zhàn)略措施。這可能包括定期的系統(tǒng)更新、員工培訓(xùn)、多因素身份驗證等措施。網(wǎng)絡(luò)安全建設(shè)的目標永遠都不會是讓組織的網(wǎng)絡(luò)系統(tǒng)無法破解，而是使攻擊者不愿發(fā)起攻擊，因為它們不具備吸引力和盈利性。

法則二、停滯不前就意味著風(fēng)險

網(wǎng)絡(luò)安全的本質(zhì)就是攻防能力間的對抗，這就像一場沒有盡頭的貓鼠游戲。隨著“壞人”變得更聰明，防御者也需要不斷更新防御技能和措施。一旦網(wǎng)絡(luò)安全能力建設(shè)停滯不前，就可能會導(dǎo)致攻防間的能力缺口加大，這會帶來嚴重的網(wǎng)絡(luò)犯罪，而那些技能缺口嚴重、安全成熟度低的組織也成為黑客們的重點攻擊目標。因此，組織的網(wǎng)絡(luò)安全建設(shè)需要不斷修補弱點，及時更新優(yōu)化網(wǎng)絡(luò)安全策略和計劃，并不斷培訓(xùn)所有的員工提升網(wǎng)絡(luò)安全意識。

法則三、要確保安全防護措施的可用與易用

在網(wǎng)絡(luò)安全建設(shè)中，確保各項安全措施的可用性與易用性非常重要。如果這些措施不能被正常使用，那么再先進的技術(shù)也將失去價值。就像我們在家里安裝了一扇有很多鎖的防盜門，盡管安全性可能很好，但自己人也很難打開它，誰還會去使用它呢?同樣的，如果網(wǎng)絡(luò)安全措施過于復(fù)雜，那么員工們就會尋找捷徑繞過這些防護措施，這可能會產(chǎn)生安全性風(fēng)險和漏洞。

企業(yè)在開展網(wǎng)絡(luò)安全建設(shè)時，首先要確保網(wǎng)絡(luò)安全系統(tǒng)的可用性。任何有效的網(wǎng)絡(luò)安全措施都不應(yīng)對員工的日常工作流程和生產(chǎn)活動造成過多的干擾或阻礙。組織在制定和實施網(wǎng)絡(luò)安全策略時，應(yīng)該找到平衡點，確保安全性和可用性之間得到良好協(xié)調(diào)。

法則四、隔離并不能保證安全

設(shè)想一下，如果我們把組織的網(wǎng)絡(luò)系統(tǒng)看成一套房子。那么一個完全隔離的房子看上去很安全，但并不切實際。網(wǎng)絡(luò)安全建設(shè)也是一樣，靠隔離來保障安全并不現(xiàn)實，需要一種更加系統(tǒng)、積極的防護戰(zhàn)略，它要求合理利用各種安全技術(shù)的能力和特點，構(gòu)建形成多方式、多層次、功能互補的安全防護能力體系，以滿足企業(yè)安全工作中對縱深性、均衡性、抗易損性的多種要求。縱深化、體系化安全能力建設(shè)是現(xiàn)代企業(yè)網(wǎng)絡(luò)安全發(fā)展的必然趨勢。

法則五、攻擊面很龐大，可見性很重要

網(wǎng)絡(luò)攻擊者好比是狡猾的竊賊，他們會利用能找到的任何突破口趁虛而入，這可能是聯(lián)網(wǎng)打印機、云服務(wù)、員工的電話，甚至是一封偷偷摸摸的電子郵件。因此，增強網(wǎng)絡(luò)應(yīng)用和資產(chǎn)的可見性是現(xiàn)代企業(yè)組織網(wǎng)絡(luò)安全建設(shè)的一個重要原則之一。

在實際工作中，可見性需要通過對網(wǎng)絡(luò)中的所有資產(chǎn)和攻擊面進行實時監(jiān)測來實現(xiàn)，包括資產(chǎn)和攻擊面的整體可視化，以及異常情況的發(fā)現(xiàn)和告警，這些環(huán)節(jié)都需要結(jié)合具體的業(yè)務(wù)需求和安全策略進行靈活設(shè)計和實施。

法則六、網(wǎng)絡(luò)安全建設(shè)需要優(yōu)先級

任何組織擁有的資源都是有限的。因此，開展網(wǎng)絡(luò)安全建設(shè)需要首先弄清楚什么資產(chǎn)對組織是最重要，并確保優(yōu)先保護這些資產(chǎn)。在日常的安全運營中，各種監(jiān)控措施會產(chǎn)生大數(shù)據(jù)，很多未經(jīng)分類的數(shù)據(jù)沒有利用價值。組織的網(wǎng)絡(luò)安全決策應(yīng)該基于對數(shù)據(jù)的觀察，對其進行優(yōu)先級排序和可行性分析之后再進行行動。沒有基于風(fēng)險的排序，組織就會將寶貴的資源浪費在一些并不重要的安全事務(wù)上。當然，隨著組織業(yè)務(wù)不斷發(fā)展變化，其所面臨的風(fēng)險也會不斷演變，因此需要不斷重新評估優(yōu)先保護的資產(chǎn)。

法則七、信任需要建立在不斷核驗的基礎(chǔ)上

在網(wǎng)絡(luò)安全工作中，我們不能輕易相信網(wǎng)絡(luò)上的一切東西，包括賬戶、權(quán)限和人員。因此，安全人員需要竭力確保設(shè)備、用戶和應(yīng)用程序都是合規(guī)可信的。這就好比安保人員會反復(fù)多次檢查你的證件，不管他以前見過你多少次。大量實踐證明，“最小特權(quán)原則”是一種非常有效的網(wǎng)絡(luò)安全策略，即為每個用戶和系統(tǒng)授予最低限度的訪問權(quán)限。這意味著用戶只能獲得完成其工作所需的最低權(quán)限級別，而不是獲得整個系統(tǒng)的完全訪問權(quán)限。通過實施最小特權(quán)原則，即使某個用戶的賬戶被攻破，攻擊者也只能訪問有限的資源，從而減少潛在的損害范圍。

法則八、加密是組織網(wǎng)絡(luò)安全建設(shè)的“必修課”

在保障網(wǎng)絡(luò)安全的各種手段和技術(shù)中，密碼仍然是行業(yè)公認的最有效、最可靠、最經(jīng)濟的關(guān)鍵性技術(shù)措施。如果把數(shù)據(jù)看作一個貴重的物品，那么加密就像把貴重品鎖在了保險箱里。而密鑰就是打開這個保險箱的鑰匙。如果鑰匙落入壞人之手，貴重品就面臨險境。所以，組織需要確保密鑰安全，只有合適的人才能使用。

法則九、要以人為本

在網(wǎng)絡(luò)安全建設(shè)工作中，技術(shù)很重要，但并不能解決所有問題，而人員往往是組織網(wǎng)絡(luò)安全建設(shè)最薄弱的環(huán)節(jié)，同時也是最不受重視的環(huán)節(jié)。因此，組織在開展網(wǎng)絡(luò)安全建設(shè)時，應(yīng)該將持續(xù)的員工網(wǎng)絡(luò)安全意識培訓(xùn)作為減小數(shù)字攻擊面的重要措施。盡管人為性錯誤難以避免，但能通過適當?shù)慕逃团嘤?xùn)，可以大大降低導(dǎo)致數(shù)據(jù)泄露危害發(fā)生的可能性。

法則十、只有團隊合作才能讓夢想成真

網(wǎng)絡(luò)安全建設(shè)是一項需要協(xié)調(diào)、溝通和協(xié)作的團隊工作，它需要具備各種安全技能的專業(yè)人員，同時具備體系化的專業(yè)知識。如果僅靠幾個優(yōu)秀安全工程師單打獨斗，必然會疏漏某些關(guān)鍵信息，而這些疏漏的信息可能帶來災(zāi)難性后果。

企業(yè)在開展網(wǎng)絡(luò)安全建設(shè)時，如果要避免任何可能的疏忽，就需要對安全事件進行全面處理，因此安全團隊需要借助現(xiàn)代化的協(xié)同工具實現(xiàn)相互協(xié)作，將工具、人員、流程和自動化連入透明的工作場所，使信息、想法和數(shù)據(jù)處于最顯眼的位置。只有團隊合作才能更好地協(xié)作工作，真正實現(xiàn)網(wǎng)絡(luò)安全建設(shè)的預(yù)期目標。

參考鏈接：https://www.linkedin.com/pulse/demystifying-cybersecurity-10-laws-you-need-know-damien-harrison-03pqe?trk=public_post