什么是安全状况？

根据 IBM 数据泄露成本报告，全球数据泄露的平均成本为 444 万美元。强大的整体安全状况有助于通过提高组织在检测、响应威胁和从威胁恢复的能力来抵御这些攻击。

为了获得强大的安全态势，组织部署了互锁、有针对性的安全控制措施，以保护其 IT 生态系统的多个方面，包括数据、云和身份安全。

组织对检测威胁、消除漏洞、阻止攻击和减轻损害的控制越有效，其安全状况就越稳健。

一个组织的安全状况代表了其整体的网络安全实力。在这个大类别中，组织使用不同的工具和技术来保护其 IT 生态系统的不同部分。一些最明显的安全状况类型或子领域包括：

• 数据安全状况
• 云安全状况
• 身份安全状况

数据安全状况侧重于通过防止未经授权的访问，或通过检测和阻止可疑行为来保护敏感数据。这些可疑行为可能来自授权或未经授权的用户、应用程序编程接口 (API)、物联网 (IoT) 设备、恶意软件、网络钓鱼攻击、勒索软件或其他来源。

随着组织采用云原生开发、人工智能 (AI) 和机器学习 (ML) 等新技术，数据安全风险和漏洞（包括第三方风险）可能会成倍上升。不断向数字系统添加新技术会使数据安全管理复杂化，且可能会使组织面临数据泄露与违反监管合规的风险。

数据安全状况管理 (DSPM) 工具可识别多个云环境和服务中的敏感数据，评估其对安全威胁的脆弱性，并协助遵守法规。DSPM 提供洞察分析和自动化功能，有助于安全团队快速解决数据安全和合规性问题，并防止其再次发生。

DSPM 通常更注重直接保护数据，而不是保护容纳、移动或处理数据的设备、系统和应用程序。DSPM 补充了组织的安全科技堆栈中的其他解决方案，包括信息安全 (InfoSec) 解决方案。

随着组织采用多云（来自多个云服务提供商的服务）与混合云（将公有云与私有云基础设施相结合）配置，其攻击面也在不断扩大。云安全状况侧重于通过保护云环境来缩小攻击面。

如果缺乏适当的安全措施，云基础设施则可能极易受到安全事件的影响。根据数据泄露成本报告，40% 的泄露事件涉及分布在多个环境中的数据，例如 私有云、公有云和本地环境。

云应用程序可能包含数百或数千个微服务、无服务器函数、容器和 Kubernetes 集群。随着每一次新连接的到来，编程、分发和延续错误配置变得非常容易，这些错误配置会使数据和应用程序容易受到网络威胁影响。

云安全状况管理 (CSPM) 工具可以自动化和简化对混合云和多云环境和服务中配置错误和网络安全风险的识别和补救，包括基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)。

身份安全状况侧重于检测和修复身份配置错误和可见性差距。此功能对于组织的整体安全状况至关重要，特别是当身份已成为网络安全的新边界和关键支柱时。

许多传统的安全措施侧重于在网络边界实施访问控制。但是，随着云计算、软件即服务 (SaaS) 和混合工作场所的采用，网络边界与网络安全的相关性已降低。在这种新环境下，全面了解和控制人类和机器身份的活动是减轻网络威胁的关键。

IBM X-Force Threat Intelligence Index 显示，基于身份的攻击（ 威胁行为者劫持有效身份侵入网络）是两种最常见的攻击途径之一。尽管在基础设施安全、身份安全和漏洞管理解决方案方面进行了大量投资，但还是出现了这种情况。

如今，网络罪犯已不再只是进行入侵。很多网络罪犯会通过利用错误配置和可见性差距进行登录。当身份基础设施、系统和访问控制措施配置不当时，就会出现身份配置错误。可见性差距是指组织的现有身份控制措施可能会忽视的风险，从而使得威胁参与者可能会利用未检测到的漏洞。

身份和访问管理工具以及全面的身份编排解决方案可以帮助组织保护帐户并阻止滥用有效权限。

稳健的安全状况源自稳妥的安全计划。全面安全计划通常包括以下部分。

• 资产库存
• 管制
• 安全性控制
• 事件响应计划
• 培训
• 持续改进

为保护 IT 系统和数据，组织需对其资产进行全面盘点：它们具体有哪些、位于何处、有何弱点以及如何降低风险。此盘点有助于定义需防御的攻击面，以及该攻击面所需的控制措施。

治理是指帮助组织确保适当使用 IT 系统并遵守相关法律法规的框架和流程。

治理流程通常侧重于控制对公司资产的访问和使用，例如个人身份信息 (PII)、财务数据、专有系统或商业机密。访问级别通常根据数据的相对敏感度和个人的知情需要来确定。用户通常只能在适当的权限级别访问他们完成工作所需的资产。

某些地点或行业的组织可能还需要遵守特定的监管框架，例如《通用数据隐私条例》(GDPR)、《支付卡行业数据安全标准》(PCI DSS) 或《加州消费者隐私法案》(CCPA)。违反这些法规要求可能会导致昂贵的政府罚款和公众的强烈反对。

治理、风险与合规 (GRC) 自动化有助于加强和加快正在进行的治理任务。组织还可以采用特定的治理和风险管理框架，例如美国国家标准与技术研究院网络安全框架 (NIST CSF)。

全面的安全架构包含各种互补的安全工具，以便防范各种攻击，其中包括网络钓鱼和社交工程、勒索软件、分布式拒绝服务 (DDos)攻击、内部威胁等。常见的控制措施包括：

• 端点安全 解决方案
• 防火墙
• 入侵检测与预防系统 (IDPS)
• 安全信息与事件管理 (SIEM)
• 安全编排、自动化和响应 (SOAR)
• 数据丢失预防 (DLP)
• 身份和访问管理 (IAM) 控制
• 威胁情报 平台

许多企业级安全解决方案提供了高度的自动化，并持续扫描敏感数据和资产，无论它们存在何处。自动、持续的监控可帮助组织跟踪资源，实时发现和应对威胁。

事件响应计划 (IRP) 定义了组织为应对正在进行的攻击而采取的步骤。这些计划概述了安全团队成员的角色和职责、他们应该使用的工具以及他们为消除威胁而必须完成的任务。

在运行 IRP 时，安全团队通常依赖运行风险评估、提供实时报告并具有仪表板的安全解决方案来帮助他们根据严重程度确定潜在风险的优先级。这些解决方案可能还提供分步修复说明或预构建的事件响应修复手册，以简化威胁解决过程。

一些解决方案可以自动修改系统设置或应用新的控件和补丁，以增加网络安全强度并更好地防范持续的攻击。

员工、利益相关者和其他用户通常是安全方面的薄弱环节。定期的安全意识培训可以通过让所有用户熟悉治理要求和安全最佳实践来帮助组织增强抵御威胁的能力。

威胁形势总是在不断变化。为了掌握最新风险并保持网络弹性，组织会定期审视安全指标、评估安全表现、进行渗透测试并运行完整的安全状况评估。

这些措施可以帮助组织识别风险并制定阻止新攻击的方法。这样可以实现持续改进的过程，组织可以更新其安全计划，以更好地应对不断变化的威胁。

攻击种类不断增加以及企业攻击面不断扩大，使得制定适当的安全战略变得困难并损害组织的安全状况。

具体来说，组织可能需要考虑以下问题如何影响安全状况。

• 人工智能 (AI)
• 身份和访问管理挑战
• 影子 IT

AI 可用于发起网络攻击，而用于培训 AI 的数据可能成为安全漏洞的诱人目标。

例如，大型语言模型 (LLM) 可以帮助攻击者创建更加个性化和复杂的钓鱼攻击。作为一项相对较新的科技，AI 模型也为威胁参与者提供了新的网络攻击机会，例如供应链攻击和对抗性攻击。

答案可能是提供更多 AI，而不是更少。根据数据泄露成本报告，在其安全运营中心部署安全 AI 和自动化的组织可提高系统安全性并节省成本。

当这些措施广泛部署到 攻击面管理 (ASM) 、红队测试 和态势管理等安全工作流程中时，与未部署 AI 的组织相比，有部署的组织的违规成本平均减少了 190 万美元。 

身份是当今网络安全的关键支柱。然而，在混合和多云环境中分布式员工队伍中管理各种用户的身份和访问权限的复杂性可能成为重大安全风险的来源。

• 配置错误：如果配置不当，IAM 控制可能会被随机应变的管理员或威胁参与者绕过，从而大大削弱其可提供的保护的力度。
  
  
• 被遗忘的服务帐户：服务帐户旨在帮助执行各种操作；例如，运行应用程序、自动运行服务和进行授权 API 调用。因此，这些帐户通常具有提升的系统权限。如果未妥善停用非活动服务帐户，攻击者便可利用它们获取未经授权的访问权限。
  
  
• 不适当的权利：过度授权（也称为“过度许可”）会授予用户超过其完成工作所需权限的数据访问特权或权限。这些提升后的权限极易被滥用。相反，为保护敏感数据，组织可能会授予用户过于受限的权限，从而可能会阻碍他们有效完成工作。
  
  
• 密码卫生：允许使用弱密码或常见密码的组织很容易让黑客通过简单的猜测或暴力破解方式侵入帐户。

影子 IT 是指在未经 IT 部门批准、知情或监督的情况下在企业网络上使用的 IT 资产，例如应用程序、设备和数据。由于这些 IT 资产无人管理，因此更有可能包含黑客可以利用的未修补漏洞。

影子 IT 有多种形式，包括：

• 影子访问：影子访问是指用户为了方便或加快故障排除，使用本地账户对应用程序或服务进行不受管控的访问。

• 影子资产：影子资产是指 IT 团队和系统不了解的应用程序、设备或服务。此问题使得执行访问控制、用户身份验证和合规性检查等安全措施更具挑战性。
  
  
• 影子数据：影子数据包括未由 IT 与安全团队管理的数据集和数据存储。随着组织将数据访问权限扩展到对适当的数据安全和治理了解较少的更多用户，影子数据的风险也会上升。云系统的兴起也使得用户更易将敏感数据传输到未经授权的个人数据存储中。