发布日期：2023年7月26日

在数码时代，数码化已经与各行各业不同规模的机构紧密相连，成为不可或缺的部分。不过，对资讯科技的依赖，却增加了机构承受网络威胁和挑战的风险。网络攻击若然发动成功，后果可以很严重，包括引致财务损失和声誉受损。虽然预防措施和外围防御策略是有效保安计划的重要一环，但机构亦必需再加强其网络韧性。网络韧性是指机构在监察、侦测和应对网络攻击方面的整体能力，目的是尽量减轻网络攻击对机构造成的负面影响。今天的网络空间相互连接，随时受到攻击，我们须采用「假定被攻击」的策略，从被动防御转为主动防御。

主动侦测网络威胁
「假定被攻击」的作业模式，是指机构应假定网络攻击已经发生，并主动检测环境中是否有任何因入侵行为而造成的可疑事件。为此，机构应在端点和网络上有策略性地部署适当的侦测工具，以及时识别异常活动和行为。在选择侦测工具时，机构应考虑具有行为分析能力的工具，而非仅依赖识别异常模式或识别码的工具。由于行为侦测工具可以评估系统活动和网络流量的行为特征，以侦测异常行为，因此被视为较诸识别码侦测工具而言更为有效。目前，大多数保安解决方案，如端点侦测与回应(EDR)和端点保护平台(EPP)解决方案，均已具备分析实时系统行为的能力，侦测是否受到威胁。

保持良好的记录作业模式
全面的记录机制亦极有必要，能帮助我们了解和追踪系统和保安事件，并有助加强持续监察潜在的网络威胁。为了建立有效的记录作业模式，机构应先确定哪种日志记录配置有助确定系统是否受到入侵，以及系统受到入侵影响的程度。可能有需要加以记录的事件包括更改系统配置、外部通讯、身份验证和接达、保安工具引发的警报，以及改动保安工具的启动状态。为便于寻找威胁和分析事件，机构应确保记录的保存时间够长，并避免被覆写。一般而言，记录应至少应保留六个月，并应实施足够的措施保护记录，以防止攻击者篡改记录。

建立主动进行安全监察的能力
现今的网络攻击者往往会避开侦测，并藏匿在机构的系统环境或网络基础设施中，以尽可能收集更多资讯，才发动攻击。建立一个坚固的安全监察系统，包括对记录进行主动和持续的分析，以查找异常的系统行为和已知的攻击模式，可以让机构及早发现受到入侵的迹象，迅速作出应对，从而减少可能受到的影响。虽然没有一套通用做法，但机构应根据所面临的威胁和可用的资源来建立其安全监察系统。不论采用哪种做法，机构宜通过自动化工具进行安全监察，例如安全资讯与事件管理(SIEM)方案，可以集中收集和整合不同系统的记录，以便即时发现安全问题并尽速处理。为了应对不断变化的威胁形势，应不时加强安全监察(包括SIEM的预警规则)，加入威胁情报和安全报告所分享的最新入侵指标。

建立应对网络威胁的有效措施
在掌握系统环境中的活动后，下一步是有系统和高效地准备好应对安全事故，并恢复受阻的服务。当中需要作出适当的人手和责任分配、预留足够的资源、制定事故处理程序，甚至编制事故应变手册。为了有条理且自动化地应对安全事故，编制事故应变手册是至关重要的第一步。虽然手册的形式视乎机构的规模和类型而定，但通常包括工作流程和操作程序，以协调不同情况下的应变工作。除了手动程序之外，机构还应考虑安全工具所提供的全自动或半自动操作程序(例如终止恶意程序、隔离有可疑出站网络流量的端点或禁用异常用户帐户)，以进一步加快整体的应变工作。此外，机构员工对于防御网络威胁的准备也同样重要。机构应定期进行网络安全演习，让每位支援和管理人员熟悉事故处理程序，同时提供机会优化事故应变流程。

建立共享威胁情报的生态系统
提升网络的抗御能力需要持续保持警觉和不断投入，才可以跟上日新月异的攻击方法和加强已建立的侦测和应变机制。然而，机构可能难以单独应对瞬息万变的网络威胁。为了在不断变化的威胁形势下保持优势，机构应积极共享和交流有关攻击方法和入侵指标的最新资讯，并及早采取预防措施，互相协作，以提供多一层针对网络威胁的保护，最终得以减少网络攻击的整体影响。