1. 異常建模：使用機(jī)器學(xué)習(xí)模型和異常檢測來識別異常行為，比如用戶從無法識別的IP地址訪問網(wǎng)絡(luò)，用戶從與其角色無關(guān)的敏感文檔存儲庫下載大量知識產(chǎn)權(quán)(IP)，或者流量從組織沒有業(yè)務(wù)往來的國家或地區(qū)的服務(wù)器發(fā)來。

2. 威脅建模：使用來自威脅情報源的數(shù)據(jù)和違反規(guī)則/策略的情況，尋找已知的惡意行為。這可以快速輕松地篩選出簡單的惡意軟件。

3. 訪問異常建模：確定用戶是否在訪問不尋常的資產(chǎn)或不應(yīng)該訪問的資產(chǎn)。這需要提取用戶角色、訪問權(quán)限及/或身份證件方面的數(shù)據(jù)。

4. 身份風(fēng)險剖析：根據(jù)人力資源數(shù)據(jù)、觀察名單或外部風(fēng)險指標(biāo)，確定事件所涉及的用戶風(fēng)險級別。例如，最近沒有被公司考慮升職的員工也許更有可能對公司懷恨在心，企圖進(jìn)行報復(fù)。

5. 數(shù)據(jù)分類：標(biāo)記與事件有關(guān)的所有相關(guān)數(shù)據(jù)，如涉及的事件、網(wǎng)段、資產(chǎn)或賬戶，為安全團(tuán)隊(duì)提供上下文信息。

網(wǎng)絡(luò)安全中絕對“流行”的趨勢之一是安全運(yùn)營中心 (SOC) 現(xiàn)代化。越來越多的證據(jù)表明，這不是是否會受到攻擊的問題，而是何時以及如何攻擊一個組織。我們看到 SOC 縮小了他們成為檢測和響應(yīng)組織的使命的重點(diǎn)，需要某些構(gòu)建塊來為未來的 SOC做好準(zhǔn)備。

數(shù)據(jù)是 SOC 現(xiàn)代化的第一個構(gòu)建塊，數(shù)據(jù)是安全的命脈。當(dāng)安全性由數(shù)據(jù)驅(qū)動時，團(tuán)隊(duì)可以專注于相關(guān)的高優(yōu)先級問題，做出最佳決策并采取正確的行動。數(shù)據(jù)驅(qū)動的安全性還提供了一個持續(xù)的反饋循環(huán)，使團(tuán)隊(duì)能夠捕獲和使用數(shù)據(jù)來改進(jìn)未來的分析。

第二個構(gòu)建塊建立在數(shù)據(jù)之上，是一個開放式集成架構(gòu)，可確保系統(tǒng)和工具可以協(xié)同工作，并且數(shù)據(jù)可以在整個基礎(chǔ)架構(gòu)中流動。隨著 SOC 成為檢測和響應(yīng)組織，擴(kuò)展檢測和響應(yīng) (XDR) 成為關(guān)鍵能力，只有基于開放式架構(gòu)方法才能有效執(zhí)行。

物聯(lián)網(wǎng) (IoT) 解決了許多領(lǐng)域的關(guān)鍵問題，從生產(chǎn)到健康，再從交通到物流等等。然而，物聯(lián)網(wǎng)日益增加的安全風(fēng)險要求在使用網(wǎng)聯(lián)設(shè)備時要小心謹(jǐn)慎

連網(wǎng)的物聯(lián)網(wǎng)對象不是相同的設(shè)備、裝置或服務(wù)。它們每個都有不同的用途、接口、運(yùn)行機(jī)制和底層技術(shù)。鑒于這種多樣性，物聯(lián)網(wǎng)安全措施通過預(yù)防性方法保護(hù)通過網(wǎng)絡(luò)連接的物聯(lián)網(wǎng)設(shè)備，旨在防止可能通過這些設(shè)備實(shí)施的大規(guī)模網(wǎng)絡(luò)攻擊。與任何其他計(jì)算設(shè)備一樣，物聯(lián)網(wǎng)設(shè)備是攻擊者入侵公司網(wǎng)絡(luò)的潛在切入點(diǎn)，因此，需要強(qiáng)有力的安全措施來保護(hù)它們。

公司可以采取一些措施來確保其物聯(lián)網(wǎng)的安全，其中包括在物聯(lián)網(wǎng)設(shè)備上使用授權(quán)軟件，以及在收集或發(fā)送數(shù)據(jù)之前對網(wǎng)絡(luò)上的物聯(lián)網(wǎng)設(shè)備進(jìn)行身份驗(yàn)證。此外，由于它們的計(jì)算能力和內(nèi)存有限，因此有必要設(shè)置防火墻來過濾發(fā)送到物聯(lián)網(wǎng)端點(diǎn)的數(shù)據(jù)包。

威脅一：成規(guī)模的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊對于企業(yè)、政府機(jī)構(gòu)等來說都并不陌生，往往有IT工程人員兢兢業(yè)業(yè)地防守著。而隨著很多人在疫情之后轉(zhuǎn)向長期數(shù)字生活，也給網(wǎng)絡(luò)攻擊帶來了一些新的變化。

威脅二：以假亂真的在線欺詐

互聯(lián)網(wǎng)服務(wù)以一種自然的、無感的方式嵌入我們的日常生活中，成為必不可少的工具，這意味著人們必須不斷自我學(xué)習(xí)來提升數(shù)字技能。這時候，很多缺乏數(shù)字技能的人，就可能成為網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)。

威脅三：零工時代的勞工困境

如果說前面兩種威脅都是實(shí)打?qū)嵉呢敭a(chǎn)或信息損失，可以通過有力的政策和技術(shù)工具來規(guī)避，那么有一種威脅可能是悄無聲息、但傷筋動骨的，那就是零工經(jīng)濟(jì)引發(fā)的勞工問題。

過去，我們認(rèn)為企業(yè)如同一座被城墻(防火墻)、護(hù)城河(DMZ)和吊橋(訪問控制)層層防護(hù)起來的堅(jiān)固城池，但隨著網(wǎng)絡(luò)攻擊手段的不斷升級、犯罪販子的日益猖獗、遠(yuǎn)程辦公常態(tài)化所帶來的攻擊面增大等眾多因素的影響下，零信任理念已經(jīng)逐漸成為解決網(wǎng)絡(luò)安全問題的重要推手。

2021年5月，美國政府在改善國家網(wǎng)絡(luò)安全的行政令中要求政府機(jī)構(gòu)要采用零信任方案，政令發(fā)布后，美國行政管理和預(yù)算辦公室(英文簡稱：OMB)隨即發(fā)布了如何推進(jìn)零信任架構(gòu)落地的戰(zhàn)略方案，此外，接二連三，CISA在去年秋季發(fā)布了《零信任成熟度模型》、NIST發(fā)布了白皮書《零信任架構(gòu)規(guī)劃》，其中，《零信任架構(gòu)規(guī)劃》闡述了如何利用網(wǎng)絡(luò)安全框架(CSF)和NIST風(fēng)險管理框架(RMF，SP800–37)來助力企業(yè)順利遷移升級為零信任架構(gòu)。

端點(diǎn)不僅僅是一個閑置在角落里的斷開連接的黑匣子。端點(diǎn)通常是有權(quán)參與預(yù)定義活動的計(jì)算平臺，例如處理能力、訪問資源或與其他端點(diǎn)通信。所有這些端點(diǎn)的存在都是為了向組織提供價值，但要確保這一價值，需要驗(yàn)證它們的行為是否符合組織的預(yù)期。有效的態(tài)勢感知通過定位超出其權(quán)限范圍的端點(diǎn)來執(zhí)行策略，并為運(yùn)營商提供可疑和良性端點(diǎn)行為的整體圖景。這種意識支持決策并幫助組織降低風(fēng)險。

在某些配置中，其中許多解決方案會生成大量日志數(shù)據(jù)，通常通過網(wǎng)絡(luò)將其發(fā)送到中央收集器。歸檔這些日志所需的存儲量可能會迅速增加，并且此活動占用的網(wǎng)絡(luò)帶寬會增加大量網(wǎng)絡(luò)開銷并使低帶寬連接飽和，端點(diǎn)可見性的某些方面可以在網(wǎng)絡(luò)級別實(shí)現(xiàn)，允許態(tài)勢感知收集完全忽略端點(diǎn)提供的重復(fù)數(shù)據(jù)，或者用來自另一個數(shù)據(jù)集的信息證實(shí)一個數(shù)據(jù)集中的觀察結(jié)果。

防火墻技術(shù)：是網(wǎng)絡(luò)安全防護(hù)中最常用的技術(shù)之一，作用原理是在用戶端網(wǎng)絡(luò)周圍建立起一定的保護(hù)網(wǎng)絡(luò)，從而將用戶的網(wǎng)絡(luò)與外部的網(wǎng)絡(luò)相區(qū)隔。

防病毒技術(shù)：計(jì)算機(jī)病毒是危害性最大的網(wǎng)絡(luò)安全問題，具有傳播快、影響范圍廣的特點(diǎn)，給其防范帶來了很大的難度。最常使用的防病毒方式就是安全防病毒的軟件。

數(shù)據(jù)加密技術(shù)：是近年來新發(fā)展起來的一種安全防護(hù)措施。它的作用原理是將加密的算法與加密秘鑰結(jié)合起來，將明文轉(zhuǎn)換為密文，在計(jì)算機(jī)之間進(jìn)行數(shù)據(jù)傳輸。為了一個安全、良好、有序的網(wǎng)絡(luò)環(huán)境，有必要采取有效的安全防范措施。

對計(jì)算機(jī)安全漏洞的防范是一個長期持續(xù)的過程，防范的措施也要隨著時間的變化和技術(shù)的發(fā)展進(jìn)行不斷的創(chuàng)新。