企业安全建设并不好做，虽然安全从业者常常调侃有一个完美的安全解决方案，这世界就和谐了。但是回过头来想想如果企业的网络安全问题能通过一个产品和服务就解决掉，那么安全从业者就可以歇菜了。

随着互联网技术的不断发展，网络攻击者也在迭代新的攻击技术和开发新的恶意工具。在企业中，安全漏洞的全生命周期管理是难以落地实施的一项工作。

于是乎，一旦企业出现安全事故，各种指责声从四面八方汇集到安全从业者身上。指责过后，这件事还是要解决的，安全这项工作的重要性毋庸置疑。

网络安全的防御史

1、初级阶段

很久很久以前，科技还未如此发达之前，网络安全的问题多是围绕内部与外部，边界区分很明显。

网络内围绕的是服务器，应用程序，用户和数据，这些被认为是可信任的，安全的。

而网络外的所有内容都被认为是潜在的威胁，安全工作者只需要保护好内外网防火墙即可。

2、进阶阶段

随着技术的发展，免费的公共Wi-Fi、便携式笔记本电脑、移动设备和云计算的出现，网络安全问题打破边界，且大多数攻击者利用有效凭证把自己伪装成合法用户，因此，传统的保护模型不再能有效识别出攻击。

这个时候，网络安全的供应商也不可能针对每个平台和攻击技术创建具体的针对性的解决方案。

结果最终的折中解决方案就是工具和服务混合在一起，虽然保护了特定环境下的安全，但是由于彼此不能很好地相互作用，不能提供完整的基础设施视图，因此很难从整体上了解企业的安全状况。

3、回归当下

随着威胁风险不断的扩大和发展，攻击方式越来越复杂，尤其当下攻击者还会采用机器学习和人工智能来自动化开发定向攻击和规避企业安全检测的过程，越来越加大了攻击的识别难度。

而各企业IT架构的复杂性和不规范性，也导致企业经常出现错误配置和其他人为错误，从而使网络面临很多不必要的风险。

虽然企业安全建设并不是一件容易事，但是我们可以提前做好一些准备来抵御未知风险，改善企业的安全状况，减少网络安全者的背锅概率。

提升网络安全5个关键点，从此丢掉“背锅侠”

一、了解业务目标和独特的攻击面

根据企业的业务目标和独特的攻击面，选择合适的可以解决企业工作负载的威胁检测方法。

例如，企业的云服务器不断地上下旋转。那么你的检测必须遵循云平台的设置和取消设置操作，并收集元数据，以便在事件通过此动态环境时跟踪事件。

但是，时下大多数SIEM都无法做到这一点。

二、在需要进行威胁检测之前消除漏洞

在企业的安全建设的弱点被利用之前，利用弱点评估来识别和消除弱点。评估完整的应用程序堆栈，包括代码、第三方代码和代码配置。

三、协调多个来源的数据以增强企业安全建设用例和期望结果

企业安全从业者要着重收集并检查三种可疑活动的数据：Web、日志和网络。

每种数据类型在识别某些类型的威胁方面都具有独特的优势，将它们连接在一起就会共同呈现出整体情况，能使我们在威胁攻击上获得更高的准确性判断和可操作的防御环境。

四、使用分析来检测当今复杂的攻击

确保企业的威胁检测方法能够查看历史事件中的实时事件和模式。应用机器学习来找到你所无法预判的威胁点。

如果企业使用的SIEM，要利用机器学习来了解遗漏了哪些关联，并适时地调整SIEM规则。

五、企业安全目标与业务需求保持一致

其实有多种方法可以改善企业的安全态势并检测威胁。虽然SIEM是一种传统的方法，但它们对于拥有良好安全人员配置和安全计划的组织最有用。

但是SIEM并不是针对当今Web应用程序和云环境进行安全监控的最佳解决方案，企业还是要不断升级自己的安全防御能力。

最后，之前听业内技术牛人说过一句话，在这里送给大家共勉：

请记住，我们的目标不是不受攻击 ，这世界没有完美的网络安全。

我们的目标是提高攻击者成功破坏网络的难度，提高我们快速检测和阻止发生攻击的机会。

作者：張張 | X安全主编

互联网潜藏分子，关注安全，诚邀行内大咖关注&投稿分享。

参考资料：

https://thehackernews.com/2019/06/improve-your-cybersecurity.html