什么是威胁管理？| IBM

为什么威胁管理很重要？

大多数安全团队都面临着信息碎片化的问题，这可能会导致安全运营出现盲点。无论它们存储于何处，盲点都会削弱团队识别、防御和迅速响应安全威胁的能力。

当今的危险包括变异的恶意软件、高级持续威胁 (APT)、内部威胁和围绕云计算服务的漏洞，这些都是杀毒软件无法处理的。随着受保护的 IT 基础架构边界的逐渐消失和远程工作人员的持续增加，企业面临着前所未有的复杂风险和安全威胁。在这种不断变化的威胁环境和向云转移的背景下，安全专业人员采取了一种新的思维方式——假设入侵已经发生，并且将会再次发生。

网络威胁管理系统通过自动化和 AI 得以增强，可以帮助应对当今网络犯罪分子的高级攻击。它为安全团队提供了成功所需的可视化管理。通过统一安全数据，安全团队可以从容自信地巡查，并在数千个终端和云之间的网络上识别伴有风险的数据和漏洞。

在网络安全领域，来自组织内部的威胁尤其危险。对企业来说，内部攻击比外部威胁产生的代价更高。了解什么是内部威胁以及如何减轻这些威胁。

威胁管理的工作原理

许多现代威胁管理系统都采用美国国家标准技术学会 (NIST) 建立的网络安全框架。NIST 为私营部门组织提供全面的指南，以改善信息安全和网络安全风险管理。NIST 网络安全框架 (NIST CF) 是指南之一，它由标准和最佳实践组成，其核心结构是五大功能：识别、保护、检测、响应和恢复。

识别

网络安全团队需要对组织最重要的资产和资源具备深入透彻的了解。识别功能包括资产管理、业务环境、治理、风险评估、风险管理策略和供应链风险管理等。

保护

保护功能涵盖了开发和实施适当的保障措施及保护关键基础结构的许多技术和物理安全控制。这些类别包括身份管理和访问控制、意识和训练、数据安全、信息保护流程和程序、维护和保护技术等。

检测

检测功能实施的措施是提醒组织注意网络攻击。检测类别包括异常和事件、持续的安全监控和早期检测过程等。

响应

响应功能确保对网络攻击和其他网络安全事件作出适当的响应。类别包括响应计划、沟通、分析、缓解和改进等。

恢复

一旦发生网络攻击、安全漏洞或其他网络安全事件，就会执行恢复活动，实施网络弹性计划，确保业务连续性。恢复功能包括恢复计划的改进和通讯。

威胁管理技术

如今的企业组织安装了配备 AI 等现代技术的安保运营中心 (SOC)，以有效地检测、管理和响应威胁。通过实施 AI 赋能的技术和开放、模块化的威胁管理解决方案和服务，组织可以花费更少的时间和资源，顺利整合并操作碎片化的工具和数据源。该技术可以建立高效、互联的数据交换、分析和响应流程，转换并增强安全运营能力。供应商可以交付威胁管理解决方案，如软件、软件即服务 (SaaS) 或基于客户需求的托管式服务。解决方案提供商还可以自定义设计、构建、管理或提供交付威胁管理生命周期所有方面的工具。他们使用 AI 赋能的相同威胁检测和调查工具，以及威胁管理解决方案和服务来支持 SOC 团队，从现有资源和投资资产中获取最大价值。