網(wǎng)絡(luò)安全和風(fēng)險管理已成為董事會工作議程的重中之重。據(jù)Gartner的調(diào)查顯示，61％的首席信息官（CIO）加大了對網(wǎng)絡(luò)和信息安全的投入。這家全球研究和咨詢公司預(yù)測，到今年年底，信息安全和風(fēng)險管理技術(shù)和服務(wù)方面的支出將增長12．4％。更具說服力的是，許多公司開始直接向董事會增派網(wǎng)絡(luò)安全專家。

根據(jù)我與SAP客戶打交道方面的經(jīng)驗，下面5個行之有效的策略可保護(hù)任何云環(huán)境中的業(yè)務(wù)運營：

擁有防病毒程序和某種類型的內(nèi)部安全流程再也不足以保護(hù)公司遠(yuǎn)離網(wǎng)絡(luò)攻擊和安全泄密事件。沒有合適的技術(shù)堆棧和嫻熟的團(tuán)隊，實際上不可能獲得正確的可見性；沒有可見性，也就沒有效率。

如今，企業(yè)需要三個要素來確保端到端安全監(jiān)控：良好的網(wǎng)絡(luò)威脅情報、高效的安全監(jiān)控系統(tǒng)以及用于檢測和遏制活動的技術(shù)堆棧。這還包括基于實際威脅情報的威脅建模，以評估某個特定的指標(biāo)或活動是否可疑。

人們普遍傾向于過于關(guān)注零日漏洞和簡單的漏洞掃描流程，比較感覺的威脅與實際的威脅時尤其如此。零日漏洞是重要的指標(biāo)，但對于大多數(shù)組織而言，它們不是最大的問題。

通過采取基于風(fēng)險的漏洞管理方法，公司可以識別真正有威脅的方面。這種方法根據(jù)威脅被利用、用來攻擊公司的難易程度來評估威脅，并確定輕重緩急。它讓公司可以針對可能被當(dāng)前IT環(huán)境所特有的近期威脅所利用的漏洞，撤除或?qū)嵤┛刂拼胧��?/p>

一種好的做法是在一份實際的漏洞利用圖表中直觀地顯示威脅，該圖表反映了根據(jù)應(yīng)用程序狀態(tài)表明威脅在具體的公司環(huán)境下有多適用。幾乎每個漏洞都有限制適用性級別、因而限制風(fēng)險評分或影響的先決條件。

分配和管理公司數(shù)據(jù)訪問權(quán)對于防止數(shù)據(jù)泄漏和泄密至關(guān)重要。公司需要一個專門的特權(quán)身份和訪問管理概念，這包括以下元素：職責(zé)、角色和授權(quán)的身份分離，專門針對客戶環(huán)境的特權(quán)訪問的監(jiān)控，以及與安全監(jiān)控平臺直接集成。

應(yīng)針對特定的安全流程（比如加密流程）討論職責(zé)、角色和授權(quán)的分離。舉例說，如果所有加密密鑰都安全地托管在硬件安全模塊中，可能訪問它們或訪問該特定密鑰管理系統(tǒng)云服務(wù)的特權(quán)用戶不應(yīng)該擁有管理系統(tǒng)的特權(quán)訪問權(quán)限。

對公共云而言最重要的安全要求之一是避免環(huán)境中的錯誤配置，并在需要時迅速修復(fù)。錯誤配置會使云環(huán)境無意中暴露無遺、易受攻擊。越早檢測到錯誤配置越好。這不只是事關(guān)擁有合適工具的問題。光憑工具無法解決問題，人才能解決問題。

通過對團(tuán)隊進(jìn)行云安全態(tài)勢管理方面的培訓(xùn)，公司可以在開發(fā)和測試管道期間以及整個部署和集中掃描期間及早發(fā)現(xiàn)錯誤配置。它還使公司能夠少依賴默認(rèn)的控制措施。他們可以擴大安全覆蓋范圍，以監(jiān)控與環(huán)境密切相關(guān)的特定用例，不管云平臺是哪種類型。

需要及早發(fā)現(xiàn)并迅速解決事件。此外，根本原因分析需要與安全監(jiān)控架構(gòu)完全整合起來。自動化可以加快事件分析和響應(yīng)。戰(zhàn)略手冊（playbook）和操作手冊（runbook）消除了重復(fù)，并提供了快速的修復(fù)解決方案。自動化事件響應(yīng)要與關(guān)注端到端安全監(jiān)控（第一個策略）相結(jié)合。

沒有可見性，就沒有效率；沒有效率，就沒有真正的事件響應(yīng)。公司在界定監(jiān)控范圍時，應(yīng)確保數(shù)據(jù)可用性，用于關(guān)聯(lián)和攻擊至少持續(xù)一年的慢速攻擊。我還建議采用混合或半自動的事件響應(yīng)方法，使用戰(zhàn)略手冊和操作手冊以快速響應(yīng)，同時將最后的響應(yīng)決策交到團(tuán)隊的安全分析員手中。

如果遵循這五個優(yōu)秀實踐，公司可以建立堅實的安全和風(fēng)險管理治理基礎(chǔ)，從而在任何云環(huán)境中保護(hù)自身。切記，網(wǎng)絡(luò)安全和風(fēng)險管理并非是一成不變的。

像園藝一樣，安全和風(fēng)險管理需要不斷維護(hù)，因為網(wǎng)絡(luò)犯罪分子在不斷尋找漏洞。一個良好的安全和風(fēng)險管理治理系統(tǒng)可迅速適應(yīng)變化，從而幫助貴公司面向未來。

原文標(biāo)題：5 Cybersecurity Tactics To Protect The Cloud，作者：Roland Costea

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處】

來源：51CTO布加迪