不可不知的網絡安全指南：三大核心要點

2025年2月11日

現在，已有越來越多的人意識到網絡的潛在風險，但是，許多企業仍然缺乏相關專業技術、工具，來確保IT基礎設施安全。大多數的企業，都已部署了基本的解決方案，但很少人具備完整的網絡安全策略。即使許多企業想要進一步做好防護，他們也不知從哪里開始比較好。

瑞技的解決方案架構師 Nicolas Yun，在網絡安全、云計算、關系數據庫和電信領域，擁有豐富經驗。在加入瑞技之前，Nicolas 是一家網絡安全公司的共同創辦人，這家公司致力于為《財富》100強公司提供網絡安全建議。現在，Nicolas 在瑞技，為客戶專業提供本地、云環境的全套網絡解決方案。

Paul 認為，網絡安全有三個核心要點：

弱點掃描（Vulnerabilty Scanning）
架構和偵測方（Architecture and Detection Methods）
快速偵測和回復（Rapid Detection and Response）

弱點掃描

弱點掃描：使用軟/硬件工具，來識別計算機系統的弱點的過程，確定系統是否會遭受攻擊或威脅。

考量到補丁和 bug 修復的龐大數量，許多企業很難時時確保系統更新。

弱點掃描將最高風險放在第一，協助減少補丁后的風險發生窗口，可以被分成三部分：

· 評估（assessment）

　　- 攻擊表面（attack surface）是指軟件環境中可以被攻擊者輸入或提取數據，而受到攻擊的點位。借由定位攻擊表面，能讓企業清楚了解攻擊向量（attack vector）

?　　-?資產發現（asset discovery）能協助企業，清楚知道環境中所有的IT資產

　　-?進行內部/外部的設備弱點掃描

　　-?軟/硬件清單可以協助企業維持安全強度

·?確定優先順序（prioritization）：確定威脅處理的優先次序

· 糾正（remediation）：為接下來的弱點處理和補丁安排計劃

架構和偵測方法

一個有效的網絡安全系統有許多可移動部件，應該策略性地將傳感器部署在整個環境里，以確保全面的網絡和設備可視性。傳感器應該要能進行深度封包檢測（DPI，deep packet inspection）、session再安裝、數據歸一化（data normalization），將重要的信息傳遞到使用AI、機器學習、統計算法的基于云分析引擎。

AI 能夠協助實現快速偵測，并很快適應變化；機器學習能夠辨識出攻擊工具的行為；數據分析則能減少誤報。有些服務器會被用作為 “蜜罐”（honey pots）——用來吸引黑客的陷阱，讓真正重要的IT設備遠離攻擊，并搜集和攻擊相關的資訊。

快速偵測和回復

當網絡攻擊發生時，“偵測” 包含偵測攻擊者入侵了哪里、攻擊者做了什么。

“回復” 則包含將攻擊者從網絡移除，清理、修復受影響的系統和被入侵的賬號。

這個階段涉及了幾項專業，包含：

網絡威脅獵人（threat hunter）將可疑部分找出，搜集證據去確認其是否具有威脅性。如果找到了，就會把威脅列在優先處理事項。若發現有個持續在進行的危險，就會形成高優先級的警報，而相對嚴重程度沒有那么高的，便會持續追蹤、監控。
事件響應者將會被分配處理較復雜的案例，同時協助一系列技術/非技術的問題。
取證專家（network forensic）將處理最為困難的案例，他們會進行內部網絡問題抓取、記錄，分析攻擊來源，對惡意軟件進行逆向工程。這讓他們能夠偵測到最高級的攻擊。