1. 網絡戰略

1.1. 網絡安全一直占據著大多數網絡戰略的中心地位，因為隨著威脅行為者獲得更好的利用工具和技術，網絡威脅正不斷變得更加先進

• 1.1.1. 建議各組織制定網絡戰略，以確保其網絡基礎設施免受各類風險和威脅損害

1.2. 網絡戰略是以文檔的形式記錄的網絡空間各方面的計劃，主要為滿足一個實體的網絡安全需求而制定，解決如何保護數據、網絡、技術系統和人員的問題

1.3. 一個有效的網絡戰略通常與一個實體的網絡安全風險暴露程度相當

• 1.3.1. 涵蓋了所有可能成為惡意方攻擊目標的攻擊環境

1.4. 網絡戰略是根據公司對風險容忍度的定義管理組織安全風險的計劃，旨在實現業務和組織目標

1.5. 網絡戰略應與業務戰略以及業務驅動因素和目標完全一致

2. 為什么需要構建網絡戰略

2.1. 組織不斷應對網絡攻擊中經驗豐富的專業人員發出的威脅

2.2. 可悲的現實是，許多入侵都是由國家、網絡恐怖分子和強大的網絡犯罪集團實施的

• 2.2.1. 黑客地下經濟為購買入侵工具、技術或雇傭人員提供便利，并對通過成功攻擊所獲的收益進行洗錢

• 2.2.2. 通常情況是，攻擊者在網絡安全方面比普通IT員工擁有更多的技術專業知識

• 2.2.3. 攻擊者可以利用其先進的專業知識輕松繞過許多組織中的IT部門設置的許多網絡防御工具

2.3. 原因

• 2.3.1. 提供有關安全戰術的詳細信息

  • 2.3.1.1. 網絡戰略制定了確保組織安全的高級戰術

  • 2.3.1.2. 涉及事件響應、災難恢復和業務連續性計劃，以及幫助安撫利益相關者的對攻擊行為響應等

  • 2.3.1.3. 有助于讓利益相關者了解組織應對網絡攻擊的準備情況

• 2.3.2. 擺脫假設

  • 2.3.2.1. 當今組織中使用的某些網絡安全防御機制基于IT部門或網絡安全顧問的假設

  • 2.3.2.2. 假設總是可能具有誤導性，并且可能只針對某個特定目標（如合規）量身定做

  • 2.3.2.3. 網絡戰略則是針對各種網絡威脅和風險，經深入研究、分析和考慮各種相關信息后制定的行動計劃，它們的開發也是為了一個共同的最終目標：使安全目標和業務目標一致

• 2.3.3. 改善組織

  • 2.3.3.1. 網絡戰略帶來了對有關網絡安全問題的集中控制和決策，因為它們是與不同的利益相關方合作建立的

  • 2.3.3.2. 確保組織中的不同部門可以協調設置并努力實現一組共同的安全目標

• 2.3.4. 證明了你對安全的長期承諾

  • 2.3.4.1. 網絡戰略保證了組織將投入大量的努力和資源來保障組織的安全

  • 2.3.4.2. 承諾對利益相關者來說是一個好現象，表明該組織在遭受攻擊時將保持安全

• 2.3.5. 為利益相關者簡化了網絡安全

  • 2.3.5.1. 網絡戰略有助于打破網絡安全的復雜性

  • 2.3.5.2. 告知所有利益相關者網絡空間的風險和威脅，然后解釋如何通過一系列可實現的小目標來緩解這些風險和威脅

2.4. 處理安全問題的方式

• 2.4.1. 從防御的角度來看

  • 2.4.1.1. 網絡戰略的重點是告知利益相關者組織為保護自己免受已查明的威脅而實施的防御戰略

• 2.4.2. 從攻擊的角度來看

  • 2.4.2.1. 網絡戰略可能側重于證明現有安全能力的有效性，以便發現并修復缺陷

  • 2.4.2.2. 可能廣泛地涵蓋了將用于測試該組織的攻擊準備情況的不同方法

• 2.4.3. 一些戰略可能是這兩個角度的混合，因此涵蓋了對現有防御機制的測試和強化

• 2.4.4. 所選擇的方法取決于可用資源和業務目標

3. 構建網絡戰略

3.1. 了解業務

• 3.1.1. 對業務了解得越多，就能更好地確保它的安全

• 3.1.2. 了解組織的目標、與你共事的人員、行業、當前趨勢、你的業務風險、風險偏好和風險容忍度，以及你最有價值的資產，是非常重要的

• 3.1.3. 擁有完整的資產清單，對于根據這些資產遭受攻擊的風險和影響來確定戰略計劃的優先順序至關重要

3.2. 了解威脅和風險

• 3.2.1. 風險始于一個潛在的事件，然后將其可能性與其潛在的嚴重性結合起來

• 3.2.2. 風險（潛在損失）=威脅×漏洞×資產

• 3.2.3. 并非所有的風險都值得化解，理解這一點真的很重要

  • 3.2.3.1. 如果一個風險發生的可能性極小，但緩解的成本卻很高，或者風險的嚴重程度低于緩解的成本，那么這樣的風險是可以接受的

3.3. 適當的文檔

• 3.3.1. 文檔有助于建立流程之間的標準化，并確保組織中的每個人都以同樣的方式努力實現同樣的結果

• 3.3.2. 是每項戰略的關鍵方面，在確保業務連續性方面發揮著特別重要的作用

• 3.3.3. 網絡戰略文檔化將確保效率、一致性，并讓參與其中的人安心

4. 最佳網絡攻擊戰略

4.1. 保護組織安全的最佳方式之一是像黑客一樣思考，并嘗試使用與對手相同的工具和技術入侵組織

4.2. 可以通過網絡外部或內部的外部測試來測試防御戰略

4.3. 旨在確保所實施的安全戰略有效，并與業務流程的目標保持一致

4.4. 外部測試戰略

• 4.4.1. 包括試圖從外部（即從組織網絡外部）入侵組織

• 4.4.2. 出于測試目的，網絡攻擊將針對可公開訪問的資源

• 4.4.3. 其他常見的目標包括通常暴露在公眾面前的域名服務器和入侵檢測系統

• 4.4.4. 除技術系統外，外部測試戰略還包括針對員工或用戶的攻擊

• 4.4.5. 此類攻擊可以通過社交媒體平臺、電子郵件和電話進行

• 4.4.6. 常用的攻擊方法是社會工程學手段，通過說服目標分享敏感細節或為不存在的服務付費、支付贖金等，因此外部測試戰略應該模仿這些攻擊

4.5. 內部測試戰略

• 4.5.1. 包括在組織內執行攻擊測試，目的是模仿可能試圖危害組織的其他內部威脅

• 4.5.2. 包括心懷不滿的員工和懷有惡意的訪客

• 4.5.3. 內部安全漏洞測試總是假設攻擊者擁有標準的訪問權限，并且知道敏感信息的存儲位置，可以逃避檢測，甚至禁用某些安全工具

• 4.5.4. 內部測試的目的是加固暴露給正常用戶的系統，以確保它們不會輕易被攻陷

4.6. 盲測戰略

• 4.6.1. 一種旨在出其不意地攻擊組織的測試戰略

• 4.6.2. 是在事先沒有警告IT部門的情況下進行的，因此，當發生這種情況時，組織會將其視為真正的黑客攻擊，而不是測試

• 4.6.3. 盲測是通過攻擊安全工具、試圖侵入網絡并鎖定用戶以從他們那里獲取憑據或敏感信息來完成的

• 4.6.4. 由于測試團隊沒有從IT部門獲得任何形式的支持，以避免向其發出有關計劃中的攻擊的告警，因此盲測代價通常很高，然而，這往往會發現許多未知漏洞

4.7. 定向測試戰略

• 4.7.1. 測試只隔離一個目標，并對其進行多次攻擊，以發現能夠成功的目標

• 4.7.2. 當測試新系統或特定的網絡安全方面時，如針對關鍵系統的攻擊事件響應等，它是非常有效的

• 4.7.3. 通過定向測試并不能了解到整個組織的漏洞的詳細細節

5. 最佳網絡防御戰略

5.1. 網絡安全的最后一道防線通常歸結為一個組織所擁有的防御系統

• 5.1.1. 有必要確保其整體網絡安全戰略在方法上是積極主動的

5.2. 深度防御

• 5.2.1. 深度防御，也稱為分層安全，涉及使用分層防御機制，使攻擊者很難侵入組織

• 5.2.2. 分層安全是最廣泛使用的網絡防御戰略

  • 5.2.2.1. 正變得越來越昂貴和無效

    5.2.2.1.1. 多層安全性的安裝和維護成本很高，這對中小企業來說是一大挑戰

  • 5.2.2.2. 黑客仍然能夠使用攻擊技術（如直接針對最終用戶的網絡釣魚）繞過多層安全保護

• 5.2.3. 采用了多層安全防護措施，因此，一層安全防護措施未能阻止攻擊，只會讓攻擊者暴露在另一層安全防護措施中

• 5.2.4. 深度防御策略對那些認為單層安全防御難以免受攻擊的組織頗具吸引力

• 5.2.5. 可能禁用遠程訪問，并對任何登錄嘗試使用雙因子身份驗證

• 5.2.6. 成功的概率非常低，因為每一層安全防護措施都有自己的復雜性

• 5.2.7. 常見組件

  • 5.2.7.1. 網絡安全(Network security)

    5.2.7.1.1. 由于網絡是最容易暴露的攻擊面，因此第一道防線通常旨在保護它們

    5.2.7.1.2. IT部門可能會安裝防火墻來阻止惡意流量，還可以防止內部用戶發送惡意流量或訪問惡意網絡

    5.2.7.1.3. 網絡上還部署了入侵檢測系統，以幫助檢測可疑活動

    5.2.7.1.4. 由于針對防火墻的DDoS攻擊廣泛使用，建議組織購買可持續承受此類攻擊的防火墻

  • 5.2.7.2. 主機保護（計算機和服務器安全）

    5.2.7.2.1. 防病毒系統對于保護計算設備免受惡意軟件感染至關重要

  • 5.2.7.3. 加密

    5.2.7.3.1. 加密通常是最可信的防線，因為它建立在數學的復雜性基礎之上

    5.2.7.3.2. 組織選擇加密敏感數據，以確保只有授權人員才能訪問這些數據

    5.2.7.3.2.1. 當這樣的數據被盜時，對組織來說并不是一個很大的打擊，因為大多數加密算法都不容易被破解

  • 5.2.7.4. 訪問控制

    5.2.7.4.1. 訪問控制是一種通過認證來限制可以訪問網絡中資源的人數的方法

    5.2.7.4.2. 組織通常將物理和邏輯訪問控制相結合，以使潛在黑客很難攻陷它們

    5.2.7.4.3. 物理控制包括使用鎖和保安來阻止人們進入敏感區域，如服務器機房

    5.2.7.4.4. 邏輯控制需要在用戶可以訪問任何系統之前使用身份驗證

    5.2.7.4.5. 傳統上，只使用用戶名和密碼組合，但由于泄密事件增加，建議使用雙因子身份驗證機制

5.3. 廣度防御

• 5.3.1. 越來越多的組織考慮采用廣度防御方法

• 5.3.2. 一種新的防御戰略，它將傳統的安全手段與新的安全機制相結合，旨在為OSI模型的每一層提供安全性

• 5.3.3. 不同的OSI模型層包括物理層、數據鏈路層、網絡層、應用層、表示層、會話層和傳輸層

  • 5.3.3.1. 最后一層安全措施通常是應用層

• 5.3.4. 網絡應用防火墻(Web Application Firewalls，WAF)

  • 5.3.4.1. 能有效地抵御針對特定應用的攻擊，是一種非常有效的網絡應用防火墻

  • 5.3.4.2. 一旦發起攻擊，WAF就可以挫敗它，并且可以創建一個規則來防止未來出現類似的攻擊，直到應用補丁為止

  • 5.3.4.3. 具有安全意識的開發人員在開發應用程序時使用開放式Web應用程序安全項目(Open Web Application Security Project，OWASP)方法

    5.3.4.3.1. 這些方法堅持開發符合標準安全級別的應用程序，并解決一系列常見漏洞

    5.3.4.3.2. 未來的發展將確保應用程序在出廠時幾乎完全安全

    5.3.4.3.3. 它們將能夠在不依賴其他防御系統的情況下單獨抵御攻擊

• 5.3.5. 用于防御的另一個概念是安全自動化

  • 5.3.5.1. 意味著開發具有檢測攻擊和自動防御能力的系統

  • 5.3.5.2. 這些功能是使用機器學習實現的，在機器學習中，系統被告知其所需的狀態和正常環境設置

  • 5.3.5.3. 有基于人工智能的防火墻和基于主機的防病毒程序，可以處理安全事件，而不需要人工輸入