什么是网络安全？

网络安全是一种保护网络、系统、设备和其他敏感信息免受蓄意攻击和未经授权使用的实践。 这是一项整体性的工作，需要您的人员、流程和技术保持一致。为了保护组织的资产、员工、客户和用户，当今的网络安全专家使用各种策略来保护他们的数据。在日益数字化的世界中，保护网络安全至关重要，以确保

• 个人隐私和安全： 网络安全通过防止黑客利用身份信息或直接或间接地威胁人身安全来保护个人隐私和安全。
• 保护金融资产和知识产权： 糟糕的网络安全会使网络犯罪分子能够窃取机密的商业信息，如商业秘密、产品设计和其他专有信息。
• 维护业务运营： 网络攻击会扰乱组织的正常运作，中断服务并造成广泛损失。
• 声誉完整性： 数据泄露或其他网络安全事件会损害组织的声誉，使其难以吸引和留住客户、投资者和员工。
• 关键基础设施的弹性和可靠性： 对能源、运输和供水系统等关键基础设施系统的网络攻击可能会影响个人安全和社会运转。
• 法律和合规保证： 糟糕的网络安全可能会导致不符合数据隐私法规（如 GDPR 和 HIPAA），从而导致监管问题、经济处罚和其他后果。
• 国家安全： 网络安全对于维护国家安全至关重要，因为它可以保护政府和军事网络免受可能泄露敏感信息的网络间谍活动和网络攻击。

网络安全对于降低网络攻击的风险，并确保现代世界基础的数据、系统和网络的完整性、机密性和可用性至关重要。根据 Cybersecurity Ventures¹ 的数据，到 2025 年，网络犯罪预计每年将造成 10.5 万亿美元的损失。从企业的角度来看，网络安全之所以重要，是因为它可以保护组织免受可能造成重大损害的威胁。

数据泄露是给组织带来负面影响的最常见原因之一。由于直接的监管罚款和长期的声誉损害，此类数据泄露的后果会对负有责任的组织产生持久的财务影响。如果没有适当的网络安全保护，组织将面临敏感信息丢失的风险，包括知识产权、财务信息以及个人身份信息 (PII)，例如员工和客户的联系方式、社会安全号码和医疗保健信息。

不幸的是，数据泄露非常普遍。根据 IBM Security 的《2022 年数据泄露成本报告》²，超过 83% 的组织发生过一次以上的数据泄露。

当攻击发生时，它们代价高昂，会伤害员工和客户，并可能使组织在消费者中的良好声誉受损。因此，每个组织都应优先考虑降低网络安全风险。

“网络安全”一词涵盖了许多不同的工作和策略，所有这些工作的目标都是保护组织免受漏洞的侵害。以下是当今组织关注的一些最常见的网络安全领域。

1. 安全信息和事件管理 (SIEM)

   安全信息和事件管理 (SIEM) 是一种用于检测和响应组织内部威胁的网络安全解决方案。其核心是，SIEM（发音与“him”押韵）收集日志和事件，对这些数据进行规范化，以便进行进一步分析，这些分析可以表现为可视化、警报、搜索、报告等。安全分析师可以使用 SIEM 解决方案来处理高级网络安全用例，例如持续监控、威胁搜寻以及事件调查和响应。

2. 端点安全

   端点安全是一种保护连接到网络的设备（例如笔记本电脑、服务器和移动设备）的做法。理想的端点安全解决方案可以防止勒索软件和恶意软件，检测高级威胁，并为响应者提供重要的调查背景信息。

3. 云安全

   云安全是一种保护云技术免受错误配置和泄露的做法。合适的云安全解决方案将通过提供对云状态的丰富可见性来保护云部署。它将通过预防、检测和响应功能（全部集成在一个解决方案中）来保护云工作负载。

4. 安全编排、自动化和响应 (SOAR)

   安全编排、自动化和响应 (SOAR) 使安全团队能够标准化和简化其组织对网络攻击和事件的响应。SOAR 优化了安全运营中心 (SOC) 内外的流程，使分析师能够专注于保护其组织的生态系统。

5. 应用程序安全

   应用程序安全是一种保护应用程序的做法，无论应用程序是在云中、本地服务器上还是在客户端设备上运行。这包括在应用程序中创建、开发、添加和测试安全功能，以确保它们正常运行。适当的应用程序安全可确保应用程序中的数据安全且不会被盗。

6. 网络安全

   网络安全侧重于保护网络基础设施免受滥用。它通常结合了许多不同的策略，包括（但不限于）防火墙、入侵预防/检测系统、网络分段、VPN 和其他解决方案。

7. 物联网安全

   恶意行为者有时会针对连接到网络的特定物理设备。这些设备包括支持 WiFi 的设备，例如汽车、安全摄像头和智能冰箱。物联网 (IoT) 安全是一种网络安全实践，可确保这些设备不会将威胁或漏洞引入网络。

8. 威胁情报

   威胁情报通过分析收集的数据来帮助安全团队防范网络攻击，这些数据提供了对攻击者的策略和目标的洞察。通过威胁情报，团队可以识别攻击者活动的模式，并为他们的组织制定适当的防御策略。

9. 身份和访问管理

   身份和访问管理（通常称为 IAM）是管理数字身份和用户访问的框架和技术。IAM 包括双重或多重身份验证、特权访问管理以及在系统或平台内分配访问级别等。通过实施健康的 IAM，组织可以确保登录安全，并且只有合适的人员才能访问敏感信息。

10. 零信任

    零信任是一种网络安全框架，要求所有用户（无论他们是谁）在访问数据、应用程序和其他系统之前都必须进行身份验证。零信任之所以受到青睐，是因为当今的分布式劳动力。它考虑了可能通过智能手机、笔记本电脑和其他设备工作的远程工作人员。

11. 移动安全

    移动安全是网络安全的一个分支，它关注保护移动设备（例如笔记本电脑、智能手机和平板电脑）的安全。随着移动设备在工作场所的普及，移动安全变得越来越重要。

衡量网络安全计划的成功程度可能具有挑战性，因为很难量化安全措施在预防网络攻击或数据泄露方面的有效性。但是，组织可以使用以下几个指标来评估其网络安全计划的绩效，例如

• 合规性：评估组织是否符合相关框架和法规，这使网络安全计划与一套有价值的初始最佳实践保持一致。
• 威胁检测和响应时间：衡量组织检测和响应网络威胁的速度可以表明其安全工具和流程的有效性。
• 风险降低：评估组织在降低其敏感信息和系统的整体风险方面的成功程度可能会有所帮助。可以通过比较实施新安全措施前后网络攻击的可能性和影响来衡量这一点。
• 渗透测试：定期执行内部和外部安全审计和渗透测试可以帮助组织识别其安全计划中的漏洞和缺陷，并相应地对其进行改进。
• 投资回报率 (ROI)：通过分析安全措施的成本与它们产生的收益之比来衡量该计划的成本效益，可以帮助展示网络安全预算的使用情况。

没有任何网络安全计划可以保证 100% 的保护，因此目标是实现适合组织预算、资源和风险承受能力的结果。

网络攻击是窃取、损坏、更改或破坏数据及其底层系统的恶意尝试。如果成功，网络攻击可能会以财务损失、系统停机、敏感数据暴露和系统禁用等形式损害组织。

网络攻击者的动机各不相同，尽管动机通常是经济、个人或政治方面的。有时，网络攻击者通过金钱和数据盗窃来寻求金钱利益。其他时候，他们代表一个民族国家进行网络战争或网络恐怖主义。一些攻击者可能会发起攻击来监视竞争对手以获得优势。

在当今的环境中，存在许多不同类型的网络安全威胁。恶意行为者会针对网络、应用程序和物理设备进行攻击。以下是组织努力避免的一些最常见的网络安全威胁类型

• 恶意软件：“恶意软件”的简称，此威胁类别包括病毒、特洛伊木马和其他恶意软件，这些软件可能会损坏或破坏计算机系统、窃取敏感信息或启用对网络的未授权访问。
• 勒索软件：勒索软件是一种高级恶意软件，旨在持有用户的信息或阻止用户使用系统，直到用户支付资金来解锁它。通常，这是通过加密某些文件类型来实现的，然后迫使用户支付赎金以获取解密密钥。
• 网络钓鱼：网络钓鱼是指试图获取敏感信息（如信用卡号、社会安全号码或其他可用于邪恶目的的信息）的攻击。网络钓鱼攻击者使用电子邮件、短信、电话或社交媒体，试图通过看起来合法的通信来诱骗用户共享信息。
• 内部威胁：这涉及具有组织网络或系统授权访问权限的个人或团体，然后利用该访问权限来损害组织。
• 社会工程：这包括利用人类心理来欺骗个人或组织，以获取敏感信息、敏感网络资源和财务信息的策略。
• 高级持续性威胁 (APT)：这些是协调的、持续的、隐秘的网络攻击，通常由民族国家或犯罪团伙实施，旨在从特定组织或个人那里窃取敏感信息。
• 物联网漏洞：网络犯罪分子越来越多地将物联网设备作为访问组织网络和敏感数据的一种方式。
• 分布式拒绝服务 (DDoS) 攻击：这是一种网络攻击，旨在通过来自多个来源的流量淹没网站或网络资源，使其不可用。

尽管大多数企业在网络安全方面投入了大量时间和资源，但预防网络攻击仍然是一项挑战。随着数字环境复杂性的增加，保持一切安全变得更加困难。再加上恶意行为者变得越来越复杂，挑战就不断涌现。

以下是当今企业面临的一些最常见的网络安全挑战

网络攻击的整体增加

在过去的几年中，组织的网络攻击有所增加。根据 S-RM 的《2022 年网络安全洞察报告》³，75% 的组织在过去三年中经历过严重的攻击，比上一年增加了 60%。这些攻击不仅呈上升趋势，而且代价高昂，平均使企业损失 340 万美元。

云计算服务以及计算和网络复杂性的兴起

企业不再在本地存储所有数据。相反，他们使用云计算来满足日益增长的远程员工需求。尽管这在数据存储、工作流程和许多其他方面提供了实质性的改进，但它在网络和系统中引入了复杂性，从而带来了更多的漏洞和风险。

对数字资产的依赖

如今，组织比以往任何时候都更加依赖数字资产来完成任务、存储敏感信息以及管理用户和客户。根据麦肯锡⁴的一份报告显示，COVID-19 大流行推动了公司加速采用数字技术。2020 年 7 月，58% 的客户互动是通过数字方式进行的，高于 2019 年的 36% 和 2018 年的 20%。虽然这为员工、客户和用户提供了积极的体验，但依赖数字技术也带来了一系列网络安全挑战。

网络犯罪分子不断演变的策略

随着技术的进步，网络犯罪分子的策略也在不断进步。许多人现在正在创建专门为云技术构建的窃取信息的恶意软件。由于如此多的企业依赖云服务，风险隐患很大。网络犯罪分子不断进化以绕过安全措施，因此，广泛的保护措施以及对系统的精细观察都非常重要。

人为因素

个人通常是抵御网络攻击的第一道防线。这包括最终用户、系统管理员、安全分析师以及其他负责实施和维护网络安全措施的员工或承包商。组织应培养安全意识文化，培训员工如何识别和避免网络威胁，并采取措施保护组织的资产和数据。

在当今的威胁形势下，企业需要安全技术来解决多个用例。在这里，我们将探讨贵组织最关键的网络安全用例。

持续监控

持续监控可提供强大的运营意识、简化的安全分析以及持续的视觉反馈。在您的环境中实现可见性是保护您的组织的首要步骤之一，也是最重要的一步。

为了实现安全运营计划的持续监控，请选择一个具有强大数据模式和预构建数据集成的大规模可扩展平台，以支持企业堆栈中最具创新性的技术。

威胁防护

威胁防护是指保护组织免受常见网络威胁（如恶意软件、勒索软件和其他病毒）侵害的技术、应用程序和其他安全解决方案。威胁防护背后的理念是，组织可以在损害发生之前阻止特定的威胁。

组织可以使用许多不同类型的威胁防护。传统的防火墙可以提供保护，网络访问控制、高级恶意软件防护 (AMP) 以及应用程序可见性和控制 (AVC) 也可以提供保护。

调查和响应

当发生事件或威胁时，企业必须尽快进行调查并做出响应。快速响应至关重要，这样才能最大限度地减少攻击的影响。不幸的是，说起来容易做起来难，结果是数据泄露的平均总成本为 435 万美元²。

为了实现安全运营计划的调查和事件响应，企业必须选择一个具有强大数据模式和预构建数据集成的大规模可扩展平台，以支持您堆栈中已有的技术。

威胁狩猎

威胁狩猎是一种主动查找、检测并最终最大限度地减少漏洞和网络攻击的方法。通过威胁狩猎，IT 部门将主动调查任何异常情况，并确保没有可能导致大规模泄露的恶意活动。威胁狩猎对于打击高级持续性威胁尤其有帮助，因为这些威胁可能会在网络环境中潜伏数月而未被发现，同时收集敏感信息。

以下是一些常见的误解或乐观的想法，可能会让某些组织陷入困境。

“数据泄露只会发生在其他公司，而不是我们这里……”

许多公司认为这种情况永远不会发生在他们身上，但数据泄露是一种常见现象。最好做好准备，制定事件响应计划，制定检测和遏制漏洞的方法，以及恢复计划。通过接受数据泄露可能发生的事实，公司可以采取积极措施来降低风险并最大限度地减少影响。

“我们的网络是安全的，因为我们有强大的边界……”

虽然防火墙可以提供基本的安全保护，但它们不足以防御所有类型的网络威胁。网络犯罪分子可能会利用您网络基础设施中的漏洞，使用复杂的恶意软件绕过防火墙，并访问您的敏感数据。

“我们不需要集成安全技术来保护我们的企业……”

基本安全措施（例如防病毒软件和防火墙）非常重要，但它们不足以防御当今的高级网络威胁。为了快速检测和响应网络威胁，组织需要全面的安全策略，将关键安全工具之间的集成与明确的策略、程序以及处理安全相关问题的指南相结合。

“我们不需要担心源自供应商的网络攻击……”

许多组织依赖第三方供应商提供的各种服务，例如云存储、软件开发和 IT 支持。虽然这些供应商可能有自己的安全措施，但组织必须独立验证其安全协议并确保其符合行业标准。

攻击者可以在短时间内造成大量损害。在您下载文件所需的时间内，攻击者可能只需要同样的时间间隔就可以卸载敏感信息或部署恶意软件。速度对于安全团队实时响应事件至关重要，这样才能在事件可能造成损害之前就做出反应。

事实上，公司中的每个人都对管理网络安全负有一定责任。但是，当今的企业都聘请了首席信息安全官 (CISO) 来领导和指导组织内的网络安全计划。CISO 是 C 级高管，负责评估风险并找到解决方案。

以下是其他负责管理网络安全的人员

网络安全分析师

网络安全分析师负责保护其雇主免受网络攻击和/或未经授权访问公司财产的行为，包括网络、主机、服务器和应用程序。在此职位上，分析师直接负责主动防御网络威胁，并在发生任何漏洞时做出响应。查看分析师的一天是怎样的。

安全工程师/架构师

在此职位上，工程师/架构师领导组织内开发人员、工程师、管理员、业务领导者和其他人员之间的协作，以实施和改进安全基础设施。架构师必须平衡健全的基本网络安全策略、敏感数据的加密方法，并概述必要或期望的安全功能。

安全运营中心 (SOC) 经理

SOC 经理负责领导组织的安全运营团队，建立流程，监督招聘和培训，并向首席信息安全官 (CISO) 传递高级见解。

网络安全顾问

网络安全顾问可以在咨询角色中为一个或多个组织提供服务，提供从基本系统基础设施到高级安全技术实施的任何方面的见解。他们的最终目标取决于他们的合同，但所有人的共同使命都是保护公司的数据。

漏洞分析师/渗透测试员

聘请或承包漏洞分析师和渗透测试员来识别和评估组织系统、网络或更广泛的生态系统的潜在漏洞。渗透 (pen) 测试员充当“白帽”黑客，他们使用各种也可能被邪恶的“黑帽”黑客使用的工具来查找系统弱点。

网络工程师/架构师

从网络设计到初始配置到监控，网络工程师/架构师的角色负责处理所有与网络相关的事情，以确保最佳性能。此角色不仅处理防火墙，还管理与网络流量进出组织方式相关的策略。

系统工程师/管理员

系统管理员或工程师通常被称为 SysAdmin，负责管理组织更广泛的 IT 基础设施（服务器、应用程序、操作系统等）。此角色对于业务的成功和正常运行时间至关重要。

Elastic Security 提供对威胁的无限可见性，缩短调查时间，并保护您的企业免受不断演变的威胁形势的影响。借助 Elastic，用户可以享受开放和集成的安全方法，其中包含开箱即用的保护、可自定义的分析师工作流程、深入的上下文见解以及按需付费的采用模式。

免费试用 Elastic Security，了解如何才能在网络威胁面前保持领先地位。

• 探索 Elastic Security Labs
• 了解 Elastic Security 如何交付业务影响
• 是时候更换 SIEM 了吗？
• Elastic AI Assistant 简介
• UBA 综合指南
• XDR 综合指南

• SIEM 和安全分析
• EDR（端点检测和响应）
• XDR（扩展检测和响应）
• 云安全
• SOAR（安全编排、自动化和响应）
• 威胁情报平台

• ¹ Cybercrime magazine - https://cybersecurityventures.com/hackerpocalypse-cybercrime-report-2016/
• ² IBM Security：2022 年数据泄露成本报告 - https://www.ibm.com/downloads/cas/3R8N1DZJ
• ³ 2022 年网络安全见解报告 - S-RM 的 2022 年网络安全见解报告
• ⁴ 麦肯锡公司：新冠疫情如何将企业推过技术临界点并永久改变商业模式 - https://www.mckinsey.com/capabilities/strategy-and-corporate-finance/our-insights/how-covid-19-has-pushed-companies-over-the-technology-tipping-point-and-transformed-business-forever