近年來，針對最新網絡威脅或攻擊活動，政府與行業網絡安全人員都會做出被動性響應，這導致降低網絡威脅變得很困難，因為從一開始，網絡防御就落后攻擊者一步。

一系列針對重要目標（包括SolarWinds、克洛尼爾輸油管道, OPM, Anthem）等網絡攻擊向防御者敲響了警鐘，暴露出當前防護模式的缺陷和被動性。被動防御思維在逐漸發生變化。

我們對網絡設備、企業和應用互聯的依賴不斷增長，惡意軟件和黑客的網絡入侵也在不斷增加。包括各種犯罪組織、黑客和敵對民族國家的網絡攻擊者不斷增加。

Cybersecurity Ventures公司預計，未來五年，全球網絡犯罪成本將以每年15%的速度增長，到2025年將達到每年10.5萬億美元。此外，隨著向遠程工作模式遷移，以及對創新技術和服務的采購需求增加，網絡風險環境也發生了變化，催生對網絡安全新范式的需求。

IT對業務的重要性不斷增強，以及網絡攻擊活動的急劇增加，人們越來越認識到，對攻擊活動的防范工作不僅是必要的業務成本，也是確保業務連續性和維護企業聲譽的必要手段。業界和政府已經越來越多地認可和采用主動網絡安全防御手段。

主動安全=風險管理

在不斷發展的數字生態系統中，實施主動安全策略，不僅是指采購技術和雇傭人才，還意味著采用新的網絡安全框架，其中包含戰術手段、加密、驗證、生物特征、分析以及持續測試、診斷和緩解等一系列安全措施。簡而言之，主動網絡安全能幫助實現業務的連續性。

從核心意義上講，成功的網絡威脅應對戰略可以緩解風險、響應突發事件，以保持業務連續性。感知不斷變化的網絡威脅形勢，為所有潛在情景制定應急計劃，是非常關鍵的措施。風險管理戰略要求加強態勢感知、信息共享，尤其是網絡彈性規劃。

網絡漏洞風險評估是實現主動網絡安全的基礎，是網絡安全最佳實踐的關鍵第一步。它可以快速識別網絡漏洞并確定漏洞優先級，以便可以立即部署解決方案，保護關鍵資產免受惡意網絡行為者的攻擊，同時可以立即提高整體運營安全。

全面的風險管理方法應包括網絡安全最佳實踐、教育/培訓、使用政策和許可、配置網絡訪問、代碼測試、安全控制、應用程序、設備管理、應用控制和定期網絡審計。

目前，可以通過三種策略來加強網絡安全風險管理，這包括設計即安全(SecureBydesign)、縱深防御和零信任。設計即安全(Secure By design)維護安全流程；通過縱深防御部署多層冗余保護措施以防止數據泄露；零信任則通過身份驗證和適當的授權來實現嚴格的身份和訪問管理，重點保護企業資源（包括資產、服務、工作流、網絡帳戶等）。

具體的主動安全方法因環境而異，但連接網絡安全各個要素的網格是態勢感知與緊急情況下關鍵通信的系統能力的結合。該指導原則在美國政府國家標準與技術研究所（NIST）為工業和政府部門制定的指南得到體現，即：“識別、保護、檢測、響應、恢復”。

第一步：代碼和應用測試

測試軟件代碼是信息技術產品驗證的關鍵功能。如果不遵循測試流程，產品最終可能存在缺陷，使機構面臨風險。檢測和修復軟件開發中的缺陷是確保產品最終質量的有效方法。

評估需要從應用安全測試開始，以識別代碼或軟件錯誤配置中可被利用的漏洞，或發現應用中已存在的惡意軟件。代碼是應用和網絡的基礎，防范和預防網絡攻擊要從發現代碼的已知和未知漏洞開始。

新發布的代碼，特別是第三方軟件，在網絡安裝之前，需要徹底進行識別、評估和驗證。行業主管機構網站（如CERT）和安全公司發布的預警對于網絡安全團隊監控新的已知漏洞非常重要。

新發布的代碼存在威脅，許多應用和程序可能已在有缺陷和違規接入點的系統上運行了，也是威脅的來源。作為漏洞評估的一部分，需要檢查遺留代碼的補丁和任何新發布的代碼。每個應用都從軟件編碼開始，用相關檢測標準來優化和發現漏洞。這些工作可以通過可視化掃描和滲透測試來完成，包括驗證/確認存在漏洞的源代碼。測試和驗證測試的目的是在問題被帶入產品并污染網絡和設備之前，能夠及時發現它們的存在。

已知的問題往往明確的。軟件測試、評估和驗證的一大挑戰是要能預測網絡安全中的未知威脅。這些未知威脅可能包括檢測無法被沙箱、基于簽名和其他行為識別的隱藏惡意軟件。

對大多數公司來說，軟件測試能夠確保產品質量。在問題進入市場之前提前得到解決。測試能夠檢查產品的一致性、用戶界面和功能，并轉化為客戶滿意度。如果計劃發布應用，有必要檢查該品在各種操作系統和設備中的兼容性和性能。

測試與預算相關，因為它具有成本效益。在軟件開發過程中可同步規劃軟件測試，可以實現在軟件開發生命周期的初始階段，捕獲并修復軟件缺陷和錯誤配置，從而節省軟件開發成本。

軟件測試還要考慮的一個重要因素就是安全性。如果開發中的產品中內置安全功能，則能夠提高用戶的信任度。在網絡威脅行為日益復雜的情況下，產品安全是行業和政府軟件的一項基本要求。

持續仿真驗證測試的需求

在現實中，網絡入侵并不是一種靜態威脅，黑客總是在戰術和能力上不斷演變。網絡犯罪份子現在使用更強的規避技術，如果惡意軟件檢測到是在沙箱運行或檢測到其它惡意軟件檢測能力，惡意軟件甚至可以停止運行。

漏洞利用組件注入目標系統后，軟件就會運行代碼注入或篡改目標系統的內存空間。通常，犯罪分子使用地下或暗網出售的被盜證書繞過反惡意軟件大檢測和機器學習代碼。行業和政府必須采取更多措施應對和遏制網絡威脅的挑戰。

由于黑客利用復雜且不斷增長的攻擊面，測試需要超越傳統的漏洞掃描和手動滲透測試。它還需要實現自動化，以跟上不斷進化的網絡環境，預測黑客可能的攻擊行為，并配備有效的防范手段。這些可通過持續的模擬驗證測試來實現。

通過模擬驗證，可即時查看防御結果，還可頻繁執行測試，不依賴于測試人員的技能水平，而這可能是導致漏洞大脆弱點。

鑒于每天都會在網絡中出現新的攻擊載荷和形式，持續模擬驗證測試，再結合滲透測試，是很好的應對途徑。目前有幾家供應商提出了不同的持續安全驗證解決方案。供應商Cymulate表示，2021對企業最大的威脅包括LockBit, Conti 和Dharma 勒索軟件HAFNIUM, TeamTNT，以及濫用Log4j 的APT29。Cymulate的模擬驗證方法采用即時威脅智能模塊，通過在事先創建的測試場景中模擬潛在新型威脅，以評估和優化企業電子郵件網關、Web網關和端點安全控制。

模擬攻擊非常有效，因為藍隊可以通過該方法，集成現有安全應用和系統（包括漏洞管理、EDR、SIEM、SOAR和GRC系統），來評估和調優自身的檢測、告警和響應能力。

網絡彈性和業務連續性

遭受攻擊后，必須持續不斷提升網絡彈性和業務連續性，以優化和完善響應協議、培訓安全人員以及部署自動檢測和備份等技術。

提升網絡彈性、保持業務連續性、增加技術創新，加強政府和行業負責人之間的合作，這是經驗證、行之有效的模式。政府和私營機構可以合作發現有效的安全產品，協調靈活的產品發展路線，評估技術差距，幫助設計、評估和模擬可擴展架構，以提高企業效率，優化問責制度。

信息共享也是保證網絡彈性和業務連續性的關鍵一環，因為它有助于行業和政府了解最新的病毒、惡意軟件、網絡釣魚威脅、勒索軟件、內部威脅，尤其是拒絕服務攻擊。信息共享也可以建立有效的經驗總結和網絡彈性工作機制，這對于商業成功和打擊網絡犯罪至關重要。過去幾年，美國國土安全部關鍵設施網絡安全局（DHS CISA）擴大了信息共享計劃，特別是與參與關鍵基礎設施運營的企業加強信息共享。

主動安全要求必須加強與董事會、管理團隊的有效溝通。CISO、CTO、CIO和管理層必須協調戰略、加強合作，并定期評估信息安全計劃、安全控制和網絡安全。如果入侵影響到公司的運營，則通常需要聲譽管理。

安全補救措施對業務連續性很重要。不管怎樣，入侵事件總會發生。為了實現網絡彈性的有效性，行業和政府應制定安全響應計劃，包括事件減緩、業務連續性規劃以及安全備份協議，以有效應對網絡和設備被入侵。技術培訓和桌面演練可以改進真實網絡攻擊事件發生時的安全響應計劃實施。

吸納過去數年的最佳實踐及從安全事件中吸取的教訓，對構建防御計劃中的攻擊預防、恢復和連續性要素提供了寶貴數據。不幸的是，許多企業在準備和分析安全事件時仍然疏忽大意。Wakefield Research最近的一項研究發現，三分之一的中型組織缺乏安全響應計劃。

新興技術挑戰

新興技術既是網絡防御者的工具，也是威脅攻擊者的工具。當前的網絡威脅面包括人工智能、機器智能、物聯網、5G、虛擬和增強現實以及量子計算。

自動化技術結合人工和機器智能，是新興的未來網絡安全方法。人工智能（AI）將成為網絡安全的一大催化劑，推動實現實時威脅檢測和分析。公司通過該技術能夠監控到其系統中有什么，以及異常的行為。

人工智能可被犯罪黑客惡意使用，用來發現網絡漏洞并自動實施網絡釣魚攻擊。如果企業不使用自動化安全防護，或者不理解此類技術被濫用的影響，將嚴重損害網絡彈性和連續性。在不久的將來，人工智能和其他新興技術都將對安全和運營模式產生顛覆性影響。應對新的和更復雜威脅將是未來十年網絡彈性和業務連續性的基礎。

在當今復雜的威脅環境中，企業要生存和發展，網絡安全就不能再被事后考慮。對于任何身處數字領域的人士來說，都應該采取主動安全而不是被動防御。在網絡風險管理中，有多種既定路徑可遵循，以彌補不足、加強防御。