改善企業安全監視的四大原則

　　正因為安全事件層出不窮，公司才需要重視監視自己的系統，查找攻擊者已經進入的跡象。

　　為了更好地防御和檢測攻擊，安全人員需要調查其網絡，找到關鍵信息存在哪些位置，並使用這些信息來監視其關鍵資產並保障其安全。不幸的是，當今有不少企業的網絡處於風險中，因為其設備配置不正確，或者缺乏衡量安全的知識和技術。

　　一、企業需要人和

　　“知彼知己，百戰不殆。”公司需要調查其系統和網絡。首先必須找出可以監視的信息源。公司不能僅監視防火牆的日志、網絡數據、雇員使用網絡和系統的方式等，還應當分析訪問日志、域名請求以及地理位置信息等。

　　不過，獲得這些信息並非易事，因為安全團隊有可能並不管理某些資產。有些公司在安全問題上存在著不少障礙。例如，安全團隊可能無法從防火牆管理人員那裡獲得信息，而這些數據卻對解決安全問題至關重要。

　　所以，為了搞好信息安全，安全團隊必須找到數據源並要求管理層准許其獲得需要監視網絡安全的數據。整個企業必須在安全問題上達成高度的一致。所謂“天時不如地利，地利不如人和。”

　　二、調查自己的網絡

　　借助於各種日志和通信數據，安全團隊需要找到進出網絡的每一個方法和途徑，其中包括每一個端點。

　　這聽起來很簡單。但據筆者所知，有不少公司並不知道或沒法知道可以從網絡外部訪問哪些資源。收集關於網絡的數據並不是一件簡單的任務，許多公司在分析網絡之前並不真正了解自己的網絡以及網絡上的每個設備。

　　高效地調查網絡上的設備及各種資產的連接模式，能夠使企業知道攻擊可能來自哪些地方，並能夠檢測一些異常的使用模式。

　　三、知道在何處防御

　　在發現需要監視的信息源和網絡的結構後，公司需要知道資產的業務功能，從而為監視和防御做好准備。

　　在面臨一次攻擊後，事件響應人員需要知道攻擊者可能會去哪裡，哪些數據可能會遭遇危險。

　　例如，漏洞掃描器對於任何一個網絡來說都有很大的價值，因為控制這種工具的攻擊者可以知道網絡的弱點。

　　四、衡量安全而不是工作

　　僅僅依靠已經應用的更新的數量(例如，更新的反病毒定義)未必會使公司更安全。相反，這會使安全團隊進行一些單調的工作。

　　安全是相對於不安全而言的，這是很難衡量的。你必須衡量的是安全形勢，即你離下一個威脅有多遠。

　　公司應當衡量可以改進的安全指標，如已經修復的漏洞數量。訣竅就是實現量化並能重復執行。

　　總之，公司的安全機制必須保持靈活性，要以大量的情報為基礎。如果公司相信攻擊者會專門針對其系統進行攻擊，跟蹤威脅可以成為一種關鍵的制勝因素。