當(dāng)前，企業(yè)組織面臨越來越多的網(wǎng)絡(luò)安全威脅，在資源和專業(yè)人才有限的情況下，借助新一代安全技術(shù)實現(xiàn)企業(yè)安全運(yùn)營工作自動化成為企業(yè)的必然選擇。SOAR（安全編排自動化與響應(yīng)）技術(shù)因其在安全自動化響應(yīng)方面獨具優(yōu)勢，能夠幫助企業(yè)解決安全事件響應(yīng)過程中人員短缺、改進(jìn)警報分類質(zhì)量和速度等問題，受到更多企業(yè)用戶的關(guān)注。

從實戰(zhàn)角度看，SOAR 有三個核心思想：一是安全分析處置經(jīng)驗總結(jié)固化重用；二是安全分析處置操作盡可能自動化；三是 SIEM、安管、態(tài)勢感知等產(chǎn)品的能力延伸。SOAR 建設(shè)不是一蹴而就的，按照經(jīng)驗其合理的推進(jìn)過程為：首先，建立 SIEM、安管、態(tài)勢感知等平臺，匯聚安全數(shù)據(jù)，建立專業(yè)安全運(yùn)營團(tuán)隊，實現(xiàn)安全數(shù)據(jù)集中化研判分析；其次，建立 SOAR 平臺，將安全運(yùn)營團(tuán)隊中最常開展的研判分析任務(wù)固化為劇本，開展自動化輔助研判；最后，完善 SOAR 劇本庫，根據(jù)大部分安全運(yùn)營團(tuán)隊工作，梳理可固化的劇本，接入所需聯(lián)動對象，提升完善 SOAR 劇本庫，最大化地開展自動化運(yùn)營。

SOAR 的本質(zhì)是通過安全編排、自動化與響應(yīng)技術(shù)將安全運(yùn)營相關(guān)的人、技術(shù)和流程進(jìn)行整合，有序處理多源異構(gòu)數(shù)據(jù)，持續(xù)進(jìn)行安全告警分診與調(diào)查、攻擊分析、威脅處置、事件響應(yīng)，衡量并改善安全運(yùn)營效率、簡化安全運(yùn)營管理、為安全團(tuán)隊賦能。其短期目標(biāo)是實現(xiàn)手動任務(wù)和重復(fù)性任務(wù)的自動化，縮短威脅的補(bǔ)救時間，長期目標(biāo)是從綜合安全運(yùn)營視角找到可以量化、標(biāo)準(zhǔn)化的抓手去提升安全運(yùn)營成熟度。

調(diào)研機(jī)構(gòu)Forrester Research公司在最近發(fā)布的一份調(diào)查報告中指出，只有18%的企業(yè)優(yōu)先將安全支出用于構(gòu)建專門的內(nèi)部威脅計劃，25%企業(yè)則將支出用于防范外部威脅。內(nèi)部威脅計劃協(xié)調(diào)不同業(yè)務(wù)部門的政策、程序和流程，以應(yīng)對內(nèi)部威脅。它被廣泛認(rèn)為對緩解內(nèi)部威脅至關(guān)重要，企業(yè)該如何開始構(gòu)建內(nèi)部威脅計劃呢？

首先，企業(yè)需要專門的工作組來幫助指導(dǎo)內(nèi)部威脅計劃。工作組成員需要有明確的角色和責(zé)任，并采用同一套道德準(zhǔn)則或簽署保密協(xié)議。這是因為有許多與員工隱私和監(jiān)控相關(guān)的法律，以及在制定和執(zhí)行政策時必須考慮的法律和擔(dān)憂。工作組的第一項工作將是制定運(yùn)營計劃，并制定防范內(nèi)部威脅政策的高級版本。然后，他們需要考慮如何盤點和訪問內(nèi)部和外部數(shù)據(jù)源。為此，工作組成員需要熟悉特定數(shù)據(jù)集的記錄處理和使用程序。一旦創(chuàng)建了收集、整合和分析數(shù)據(jù)所需的流程和程序，應(yīng)該根據(jù)數(shù)據(jù)的用途對數(shù)據(jù)進(jìn)行標(biāo)記。

實施內(nèi)部威脅計劃的目的是確保不僅業(yè)務(wù)、數(shù)據(jù)或流程受到保護(hù)，而且員工也受到保護(hù)。通過秘密監(jiān)控工作流，可以更準(zhǔn)確地標(biāo)記危害指標(biāo)，幫助防止事件升級。但是，當(dāng)不可想象的事情發(fā)生時，如果毫無戒心的員工泄露了敏感數(shù)據(jù)，那么擁有強(qiáng)大的可防御流程(這些流程已經(jīng)記錄了事件)，就可以更輕松地進(jìn)行數(shù)字取證調(diào)查，并迅速解決問題。

數(shù)字化讓世界變得越來越小，信息變的越來越有價值，數(shù)字化也增加了帳號信息泄露、計算機(jī)遭竊取及劫持等風(fēng)險，主要是惡意軟件攻擊、勒索錢財，不過并非沒有辦法，跟隨五項安全基本原則幫您抵御惡意/勒索軟件攻擊。

1.了解常見的網(wǎng)絡(luò)釣魚例子。用來網(wǎng)絡(luò)釣魚的電子郵件通常還包含附件或鏈接，建議不要打開這些可疑的電子郵件并且立即將它刪除。

2. 設(shè)置雙重身份驗證。大多數(shù)的服務(wù)現(xiàn)在都提供雙重身份驗證功能，尤其是涉及敏感個人數(shù)據(jù)時，以防黑客攻擊。

3. 部署SSL證書以確保安全。部署SSL證書，網(wǎng)站實現(xiàn)https加密，可以驗證網(wǎng)站的真實性，辨別釣魚網(wǎng)站。

4. 避開可疑鏈接、郵件和附件。平時在上網(wǎng)時一定要謹(jǐn)慎，千萬要避開這些不安全的鏈接、郵件或附件。

5. 彌補(bǔ)系統(tǒng)漏洞。定期全面檢查企業(yè)現(xiàn)行辦公系統(tǒng)和應(yīng)用，發(fā)現(xiàn)漏洞后，及時進(jìn)行系統(tǒng)修復(fù)，避免漏洞被黑客利用造成機(jī)密泄露。

卡內(nèi)基梅隆大學(xué)軟件工程研究所的研究員 Rachel Kartch建議組織實施四個最佳實踐來緩解 DDoS 攻擊。

1）使架構(gòu)盡可能具有彈性。組織應(yīng)分散資產(chǎn)以避免向攻擊者展示有吸引力的目標(biāo)。將服務(wù)器部署在不同的數(shù)據(jù)中心，確保數(shù)據(jù)中心位于不同的網(wǎng)絡(luò)，路徑多樣，確保數(shù)據(jù)中心和網(wǎng)絡(luò)不存在瓶頸和單點故障。

2）部署可以處理 DDoS 攻擊的硬件。組織應(yīng)使用旨在保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)和安全硬件中的設(shè)置。許多下一代網(wǎng)絡(luò)防火墻、Web 應(yīng)用程序防火墻和負(fù)載均衡器可以防御協(xié)議和應(yīng)用程序攻擊。還可以部署專業(yè)的 DDoS 緩解設(shè)備。

3）擴(kuò)大網(wǎng)絡(luò)帶寬。如果組織負(fù)擔(dān)得起，他們應(yīng)該擴(kuò)展帶寬以吸收容量攻擊。對于沒有財務(wù)資源來投資更多帶寬的小型組織而言，這一步可能很困難。

4）使用 DDoS 緩解提供商。組織可以求助于專門響應(yīng) DDoS 攻擊的大型提供商，方法是使用云清理服務(wù)來處理攻擊流量，在流量到達(dá)組織網(wǎng)絡(luò)之前將其轉(zhuǎn)移到緩解中心。

1）數(shù)據(jù)安全治理評估。開展數(shù)據(jù)風(fēng)險發(fā)現(xiàn)過程——數(shù)據(jù)安全治理評估——才能對自身業(yè)務(wù)最核心的數(shù)據(jù)安全風(fēng)險采取技防監(jiān)測、控制手段解決，

2）數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)。在開展組織架構(gòu)建設(shè)時，需要考慮組織層面實體的管理團(tuán)隊及執(zhí)行團(tuán)隊，同時也要考慮虛擬的聯(lián)動小組，所有部門均需要參與安全建設(shè)當(dāng)中

3）數(shù)據(jù)安全管理制度建設(shè)。從業(yè)務(wù)數(shù)據(jù)安全需求、數(shù)據(jù)安全風(fēng)險控制需要及法律法規(guī)合規(guī)性要求等幾個方面進(jìn)行梳理，最終確定數(shù)據(jù)安全防護(hù)的目標(biāo)、管理策略及具體的標(biāo)準(zhǔn)、規(guī)范、程序等。

4）數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)。具體保護(hù)要求及措施，可參照國家相關(guān)法律、法規(guī)、標(biāo)準(zhǔn)及自身的數(shù)據(jù)安全相關(guān)管理制度、規(guī)范、標(biāo)準(zhǔn)執(zhí)行。

5）數(shù)據(jù)安全運(yùn)營管控建設(shè)。數(shù)據(jù)安全保障體系因其業(yè)務(wù)的持續(xù)性，需要進(jìn)行長期性服務(wù)，建立完善的數(shù)據(jù)安全運(yùn)營團(tuán)隊是必然選擇。

6）數(shù)據(jù)安全監(jiān)管。公安機(jī)關(guān)作為監(jiān)管單位，將依法履職盡責(zé)，對數(shù)據(jù)處理者履行數(shù)據(jù)風(fēng)險監(jiān)測與風(fēng)險評估等數(shù)據(jù)安全保護(hù)義務(wù)等行為依法開展監(jiān)督管理。

數(shù)據(jù)安全保障體系六步走，共分為數(shù)據(jù)安全治理評估、數(shù)據(jù)安全組織結(jié)構(gòu)建設(shè)、數(shù)據(jù)安全管理制度建設(shè)、數(shù)據(jù)安全技術(shù)保護(hù)體系建設(shè)、數(shù)據(jù)安全運(yùn)營管控建設(shè)、數(shù)據(jù)安全監(jiān)管建設(shè)。數(shù)據(jù)安全保障體系建設(shè)需要明確“技術(shù)”與“管理”并重思路，把“技術(shù)”作為“管理”的延續(xù)，即基于數(shù)據(jù)全生命周期構(gòu)建數(shù)據(jù)安全指標(biāo)，借助豐富的數(shù)據(jù)安全監(jiān)測手段以及快速響應(yīng)機(jī)制等，通過技術(shù)手段的不斷進(jìn)步逐一落實數(shù)據(jù)安全管理目標(biāo)。

據(jù)Bleeping Computer消息，安全研究人員發(fā)現(xiàn)了一種新型的惡意軟件傳播活動，攻擊者通過使用PDF附件夾帶惡意的Word文檔，從而使用戶感染惡意軟件。

類似的惡意軟件傳播方式在以往可不多見。在大多數(shù)人的印象中，電子郵件是夾帶加載了惡意軟件宏代碼的DOCX或XLS附件的絕佳渠道。隨著人們對電子釣魚郵件的警惕性越來越高，攻擊者開始轉(zhuǎn)向其他的方法來部署惡意軟件并逃避檢測。其中，使用PDF來傳播惡意軟件就是攻擊者選擇的方向之一。在HP Wolf Security最新發(fā)布的報告中，詳細(xì)說明了PDF是如何被用作帶有惡意宏的文檔的傳輸工具，這些宏在受害者的機(jī)器上下載和安裝信息竊取惡意軟件。在HP Wolf Security發(fā)布的報告中，攻擊者向受害人發(fā)送電子郵件，附件被命名為“匯款發(fā)票”的PDF文件，而電子郵件的正文則是向收件人付款的模糊話術(shù)。當(dāng)用戶打開PDF文件時，Adobe Reader會提示用戶打開其中包含的DOCX文件。攻擊者巧妙地將嵌入的Word文檔命名為“已驗證”，那么彈出的“打開文件”提示聲明就會變成文件是“已驗證的”。此時，出于對Adobe Reader或其他PDF閱讀器的信任，很多用戶就會被誘導(dǎo)下載并打開該惡意文件，惡意軟件也就進(jìn)入了受害者的電腦中。

數(shù)據(jù)訪問管理是組織進(jìn)行的一個過程，用于確定誰可以訪問哪些數(shù)據(jù)資產(chǎn)。使公司能夠保護(hù)機(jī)密信息、定義數(shù)據(jù)所有權(quán)并實施托管訪問控制，使用戶能夠?qū)崿F(xiàn)數(shù)據(jù)驅(qū)動的創(chuàng)新。實施成功的數(shù)據(jù)訪問管理的步驟包括：

1）發(fā)現(xiàn)和分類敏感數(shù)據(jù)。一旦發(fā)現(xiàn)所有數(shù)據(jù)的存儲位置，需要采取進(jìn)一步的步驟來標(biāo)記、分類和評分它的敏感性。當(dāng)數(shù)據(jù)是正確分類，可以集中精力保護(hù)最敏感的數(shù)據(jù)資產(chǎn)。將能夠更有效地查明資源和工作。

2）分配訪問控制。用在數(shù)據(jù)訪問管理計劃的第一階段完成的風(fēng)險評估，可以為各個業(yè)務(wù)用戶創(chuàng)建訪問控制。但是，與其逐個用戶授予訪問權(quán)限，不如根據(jù)定義的角色、職責(zé)和分類來分配權(quán)限。

3）分析用戶行為。該過程目的是分析業(yè)務(wù)用戶如何更改、復(fù)制、創(chuàng)建或刪除貴公司系統(tǒng)中的敏感數(shù)據(jù)。此分析將能夠確定用戶是否有權(quán)進(jìn)行他們所做的修改以及是否需要撤消任何更改。

4）審查合規(guī)要求。對于許多監(jiān)管機(jī)構(gòu)來說，仍然需要通過填寫合規(guī)證書來證明不會違反任何合規(guī)性法規(guī)。