1.5　增强安全态势

如果你仔细阅读整章，就会非常清楚：面对当今的挑战和威胁，不能使用旧的安全方法。所谓的旧方法是指21世纪初处理安全问题的方法，当时唯一关心的是有一个良好的防火墙来保护边界，并在端点上安装防病毒软件。因此，要确保安全态势，做好应对这些挑战的准备非常重要。要做到这一点，必须在不同的设备上巩固当前的保护系统，无论其外形尺寸如何都要巩固。

通过增强检测系统使IT和安全运营能够快速识别攻击，这一点也很重要。另外，有必要通过提高响应过程的有效性来快速应对攻击，从而缩短感染攻击到遏制攻击之间的时间。基于此，我们可以放心地说，安全态势由三个基本支柱组成，如图1-5所示。

图1-5　有效安全态势的三大支柱：保护、检测和响应

必须强化这些支柱：如果过去预算的大部分都被投入保护方面，那么现在有必要将这种投资和着力点扩散到所有支柱。这些投资不仅限于技术安全控制，还必须在业务的其他领域进行，包括管理控制。建议执行自我评估，从工具的角度确定每个支柱中的弱点。许多公司随着时间的推移不断发展，却从未真正更新其安全工具以适应新的威胁环境以及攻击者利用漏洞的方式。

一家加强安全态势的公司不应该出现在前面提到的统计数据中（渗透和检测之间需要229天），响应应该是立即发生的。要实现这一点，必须具备更好的事件响应流程，并使用可帮助安全工程师调查安全相关问题的现代工具。第2章将更详细地介绍事件响应，第14章将介绍一些与实际安全调查相关的案例研究。

云安全态势管理

当公司开始迁移到云上时，维持安全态势所面对的挑战就会增加，因为引入新的工作负载会导致威胁环境发生变化。根据Ponemon Institute LLC（2018年1月）进行的2018年全球云数据安全研究，49%的美国受访者对其组织对云计算应用、平台或基础设施服务的使用情况不太有信心。Palo Alto 2018年云安全报告（2018年5月）显示，62%的受访者表示云平台的错误配置是云安全的最大威胁。从这些统计数据中我们可以清楚地看到对不同的云工作负载缺乏可见性和可控性，这不仅会给应用过程带来挑战，还会延缓向云的迁移。在大型组织中，由于采用分散的云策略，该问题变得更加困难。这通常是因为公司内的不同部门从计费到基础设施会以自己的方式进行云计算。当安全和运营小组意识到这些孤立的云应用时，这些部门已经在生产中使用应用程序并与公司内部网络集成。

要在整个云工作负载中获得适当的可见性，不能只依靠一套完善的流程来实现，还必须拥有一组正确的工具。Palo Alto 2018年云安全报告（2018年5月）显示，84%的受访者表示“传统的安全解决方案要么根本不管用，要么功能有限”。因此，理想情况下，在开始迁移到云之前应该评估一下云提供商的原生云安全工具。然而，当前的许多场景与理想情况相去甚远，这意味着你需要在工作负载已经存在的情况下评估云提供商的安全工具。

在谈到云安全态势管理（Cloud Security Posture Management，CSPM）时，基本上指的是三大功能：可见性、监控和合规性保证。

CSPM工具应该能够查看所有这些支柱，并提供发现新工作负载和现有工作负载（理想情况下跨越不同的云提供商），识别错误配置并提供建议以增强云工作负载的安全态势，评估云工作负载并与法规标准和基准进行比较的能力。表1-2列出了CSPM解决方案的一般注意事项。

表1-2　CSPM解决方案注意事项