什么是威胁管理？

网络威胁比以往任何时候都要复杂且无处不在。因此，有效的威胁管理对于保护数据以及确保网络的正常运行至关重要。

本文将结合NIST网络安全框架，来阐述威胁管理的相关概念。我们将介绍应对数字威胁的技术、工具以及最佳实践，从而确保您的网络资产得到有效的保护。

威胁管理的定义

威胁管理系统检测、阻止并应对网络攻击全面的威胁管理采用系统化的方法来应对网络安全问题。通过采用相应的策略和工具，可以降低网络安全风险，保护数据安全，并确保业务的顺利运行。

为什么威胁管理非常重要呢？

威胁管理非常重要，因为……现代企业面临着多种多样且持续不断的问题。 网络威胁攻击者不断寻找新的方法来突破网络安全措施。因此，威胁管理的方式也需要不断演变，以应对新的安全挑战。

采用全面的威胁管理策略所带来的好处包括：

• 保护敏感数据免受外部威胁的侵害
• 赢得客户和企业合作伙伴的信任并长期保持这种关系
• 确保关键IT系统和数据的可用性
• 防范内部威胁
• 降低网络攻击的成本

威胁管理是如何运作的？

威胁管理涉及一系列相关的技术和技术手段。美国国家科学技术研究院（NIST）的网络安全框架将威胁管理视为一种系统性的安全策略，其中每个要素都共同作用，以加强网络安全性。

基于NIST模型的现代系统包含以下几个核心要素：

识别/确定

应对威胁的第一步就是进行分析。安全团队必须了解那些最重要的资源和资产。其中，最棘手的挑战包括：对关键资源进行分类，识别潜在的安全漏洞，并评估可能的威胁。为了建立全面的风险评估体系。

“Identify”功能包括资产管理、商业环境分析、治理政策制定、风险评估以及供应链评估等内容。每个组成部分都负责确定需要保护的内容，以及如何有效地分配资源和优先处理各项任务。

保护

安全团队必须制定并实施各种技术控制措施，以保护关键资产免受网络威胁的侵害。其中，保护功能包括访问管理、安全意识培养、数据安全措施、资产维护以及员工培训等方面。

这些措施包括针对各种漏洞进行防护，以缓解潜在的安全威胁。安全团队还需要通过加密、多因素认证以及防火墙等手段来阻止和遏制各种威胁。

检测/识别

威胁管理工具必须能够检测网络攻击，并提醒相关的安全专业人员。其技术手段包括持续监控和分析系统状态，以发现异常情况、潜在威胁以及漏洞。

例如，企业可以安装IDS软件来检测威胁，将威胁检测与威胁情报服务相结合，同时保留安全日志以便进行审计和应对突发事件。

回应/答复

企业必须迅速且有效地应对网络安全事件。在应对方面，企业面临的挑战包括：分析并规划应对措施、进行沟通协调、减轻风险以及提升安全性。

恢复

恢复功能需要制定计划，以便在发生网络安全事件后能够恢复企业的资产和数据。NIST框架的这一部分还包括与相关利益相关方进行沟通，以及采取措施来避免未来的网络攻击。

威胁管理：严峻的挑战

应对网络安全威胁是一件非常复杂的事情，团队必须提前考虑到各种潜在问题。在应对重大威胁时，需要面对的挑战包括：

可见性

安全团队无法全面了解所有网络资产的情况——尤其是在复杂的混合工作环境中。因此，要了解潜在的威胁情况变得极其困难。

要实现全方位的安全监控，就需要能够访问多种数据源。安全专业人员可能需要具备人力资源相关的权限，同时还能访问云资源、企业数据容器以及用户设备。

受限的见解/无法获取的信息

要实现有效的监控，就需要有准确且相关的关键绩效指标。然而，在复杂的IT环境中获取统一的威胁情报是非常困难的。那些没有全公司范围内绩效指标的安保团队，很难对风险进行排序、评估控制措施的有效性，以及分配资源。

技能短缺

精英级别的安全技能非常稀缺，但却是不可或缺的。那些缺乏先进安全知识的公司，就会面临来自漏洞利用或防御不足的网络终端带来的高级攻击威胁。

有经验的专业人士还会构建和维护威胁管理系统，以便能够及时发现并有效应对各种威胁。如果没有这样的经验，那么安全应对措施就会变得缓慢且效果不佳。

多种多样的网络安全威胁

攻击的多样性是另一个重要的网络威胁管理挑战。安全专业人员必须保护数据免受恶意软件、网络钓鱼攻击、服务拒绝攻击、浏览器攻击以及漏洞利用等威胁的侵害——更不用说人为错误带来的风险了。

威胁管理系统必须能够有效应对各种重要的安全威胁，同时不会忽视任何潜在的攻击方式。

减轻内部威胁的风险

威胁管理团队必须应对来自外部和内部的网络威胁——这确实是一项艰巨的任务。仅仅监控网络边缘的活动是不够的。内部威胁可以绕过安全控制措施，从内部发起攻击。

此外，安全工具还必须能够检测到由无意的策略违反所引发的安全威胁。例如，用户可能未经许可就将外部驱动器连接到网络上。

威胁监控系统必须能够追踪网络中的用户活动，及时向安保人员通报真正的威胁，同时提供有关不当行为的证据，而不会干扰正常的业务流程。

不同的威胁管理方法

目前有几种威胁防护解决方案，这些解决方案在深度和功能方面各不相同。

统一威胁管理（UTM）

UTM模型将多种安全功能整合在单一的仪表板上。其功能各不相同，但通常包括：虚拟专用网络、恶意软件检测、网页内容过滤、威胁情报分析以及应用程序控制等功能。UTM还可以选择在云端或本地进行管理。

管理型检测与响应机制

MDR系统招募经验丰富的安保专业人员作为第三方，外部团队会持续监控网络威胁，识别这些威胁，并组织相应的应对措施。MDR公司通常会利用先进的威胁情报服务，从而能够更快地应对不断变化的网络威胁。

扩展的检测与响应机制（XDR）

XDR技术提供最大的可视性无论是在本地环境、远程环境还是云环境中，XDR工具都能从各种应用程序、设备和终端中收集数据。这些工具通过可视化图表和报告来呈现这些数据，同时利用自动化技术来减少人工操作的必要程度。

安全信息与事件管理（SIEM）

SIEM工具收集有关潜在威胁的活动和事件数据这样一来，安全团队就能更好地理解各种网络安全事件。先进的工具能够优先处理那些重要的警报信息，从而避免出现处理不及时或误报的情况。企业可以立即了解每起事件的严重程度以及相应的应对方案。

安全编排、自动化与响应（SOAR）

SOAR作为一种技术栈来发挥作用这种解决方案通过自动化数据收集与事件响应，从而简化了网络威胁的管理工作。这样一来，安全人员就不必再承担那些需要定期处理的常规安全工作了，他们可以专注于在需要时采取有效的应对措施。

脆弱性管理

VM 减轻了应用程序和设备的漏洞利用问题这些问题是由过时或不安全的代码导致的。安全工具会扫描网络上的所有应用程序，识别出其中的漏洞，并优先处理需要修复的问题。同时，这些工具还会向相关团队发出警报，以便他们能够及时发现并应对这些风险。

当这种措施在整个威胁环境中得到实施时，就能有效减少攻击面，从而显著降低遭受后门攻击和数据窃取攻击的风险。

下一代入侵防御系统（NGIPS）

NGIPS通过以下方式来减轻安全威胁：分析网络中存在的每一个用户、设备和应用程序。其覆盖范围包括云资产、本地设备以及虚拟机管理程序。与传统的入侵防御系统不同，NGIPS支持网络分段功能，并且能够监控软件中的漏洞。

高级恶意软件防护功能

AMP实现了具备先进的病毒和恶意软件防护功能。AMP工具利用威胁情报来主动扫描各种安全威胁，包括常见的勒索软件变种以及特洛伊木马程序。

下一代防火墙（NGFW）

NGFW工具对所有网络流量实施安全策略。此外，这些系统还能进行深度分析，以识别高级恶意软件以及应用程序层面的攻击。NGFW系统还能快速发出终端警报，从而及时发现威胁，同时提供相关上下文信息，以帮助应对这些威胁。

威胁管理的最佳实践

威胁管理是一个非常广泛的领域，每种方法都需要专业的处理方式。不过，有一些最佳实践可以适用于几乎所有威胁防护解决方案。

• 集中式意识统一的威胁仪表板能够收集关键绩效指标以及实时威胁信息，从而明确需要优先处理的任务以及潜在的攻击风险。如果没有这种集中式管理，企业就难以快速做出反应。
• 要积极主动一些。扫描系统中的漏洞以及那些未受保护的终端设备。利用威胁情报来提前应对高级威胁，避免它们对网络造成破坏。同时，定期测试防御系统是否有效。
• 深入防御网络系统不要仅仅局限于边界防御。应运用入侵检测系统、访问控制机制、网络分段以及下一代防火墙等工具，从而形成多层次的防御体系。
• 利用先进的分析技术。威胁管理依赖于准确的数据。可以使用人工智能扫描工具来分析网络的弱点，并借助专业提供商提供的威胁情报来应对各种威胁。
• 迅速且系统地作出回应。自动化事件响应系统