企业如何提高网络安全性

企业如何提高网络安全性

随着网络技术的发展，新的攻击手段也不断出现，严重的威胁着企业的网络安全，随着小草上网行为管理软路由等一批优秀的网络安全管理软件的出现，在一定程度上大大的降低了企业的网络安全风险。

对于试图部署和管理安全控制来阻止高级攻击的企业安全团队而言，威胁情报可以让他们事半功倍。添加威胁情报到现有的信息安全计划可以加强威胁评估，并提供更多的关键数据来显示哪些安全控制可以部署在企业环境中以阻止最新的攻击。

讨什么是威胁情报？如何将威胁情报整合到企业信息安全计划中？

企业或服务供应商对威胁情报的定义各有不同。一些人将威胁情报定义为当攻击发生时发现攻击，而其他人则将其定义为威胁制造者在攻击中使用的技术。一般来说，威胁情报是指企业从各种来源收集和分析关于最新威胁媒介的信息，然后利用这些信息来抵御攻击。

信息安全领域的很多专业人士在老派攻击时期开始了他们的职业生涯，当时电子邮件列表（例如Bugtraq）、电子杂志（例如Phrack）和互联网都在快速普及。那个时候，人们使用这些相对简单的来源作为威胁情报，但即便如此，当时的人们仍然知道和了解很多不同领域的攻击和研究的最新状态。相比之下，这在今天是不可能的事情，即使是最专业的安全专家也不可能知道不断被发现的各种新威胁。

最近，企业尝试利用IT安全风险管理技术来更好地优化安全控制，以及调整信息安全计划，但这些方法并没有足够完善，来有效地管理风险。添加新方法（例如威胁情报）来帮助优化安全控制可以帮助企业更快地适应最新攻击，特别是更快地识别它们以及提高事件响应速度。

那么，这些“情报”从何而来？企业可以投资大量资源来打造自己的研究人员和分析师团队，从头开始创建一个威胁情报计划，但大多数企业没有足够的资金这样做。另一种选择是订阅安全供应商提供的威胁情报服务。每个供应商都有自己的特色，但很多供应商试图强调突出其产品组合优势的威胁情报，因此企业需要考虑采用混合和综合服务。第三种方法是加入信息共享和分析中心（ISAC），这种方法正在逐渐流行，这种方法是指大家分享特定行业的威胁数据，然后整合到本地分析和工具中。

整合威胁情报

在选择威胁情报来源后，企业必须想办法将威胁情报整合到信息安全计划中。标准化（通常是XML）的威胁情报资源和信息流可以被整合到各种安全设备中，例如，已知的恶意IP 地址可以输入到防火墙并进行阻止，而已知的恶意域名可以被DNS阻止，恶意下载的文件

可以被网络监控工具识别，或者包括在系统管理工具中来识别特定文件或工具。你还可以配置SIEM系统来整合威胁情报资源以识别受感染主机。后续调查的额外威胁数据也可以用于进一步分析不同的系统，以及与其他企业共享的系统，使得信息能够投入使用。

威胁情报的一大卖点是企业可以利用这些信息在攻击启动之前就抵御攻击。通过监测威胁情报中是否存在针对特定软件、系统或行业的攻击，企业可以确定其是否在使用易受攻击的软件或系统，然后在攻击发生前部署缓解措施。例如，如果攻击者瞄准了使用漏洞版本WordPress的Web服务器，试图将其作为攻击内部网络的支点，企业可以查找易受攻击的WordPress安装，并部署缓解措施，甚至更新到最新版本来阻止这种攻击。在大型企业中，针对企业网络中某个区域的攻击可以用于发现威胁数据，而这些威胁数据可以用于调查对整个网络的攻击。

收集和管理内部威胁情报似乎是合理的，但为了有效利用很多其他企业的数据来执行这种工作，企业最好转向第三方服务供应商。服务供应商可以对入站智能信息进行验证和数据整理，这样，企业只需要简单地导入数据到内部工具，从而专注于阻止和检测攻击。

企业信息安全计划需要足够的灵活性，并添加新方法来提高决策过程，随着威胁变得越来越复杂和有针对性，企业应该利用一切科学的手段是现实安全管理，安装使用小草上网行为管理软路由在上网行为管理、流量控制管理上有非常显著地效果，解决内部的网络安全威胁。