主动式网络安全的真正含义？保护组织的关键措施

核心观点

• 主动式网络安全更像是一种安全哲学而非具体方案
• 主动安全关注攻击前的风险管控，被动安全侧重攻击后的损害控制
• 关键技术措施包括：漏洞扫描、攻击面管理、漏洞管理、暴露验证、补丁管理和安全教育
• 通过最小化业务中断和客观风险评估可获取对主动安全措施的支持

Ivanti《2025年网络安全状况报告》发现了一个意料之中的事实：在所有被问及的威胁向量和漏洞方面，组织普遍存在显著的准备差距。

虽然安全团队合理地将资源用于构建恢复能力以便快速响应和恢复攻击，但弥补这些准备差距需要采取主动式网络安全措施。

主动与被动的区别

主动式网络安全指在攻击发生前改善安全状况、减少攻击面的措施；被动安全则是在系统已被入侵后中断攻击、控制损害的手段。

二者并非互斥关系。主动安全降低风险但不消除风险，“被动"可能带有轻微负面含义，但无论风险暴露面多小，响应攻击的能力都至关重要。

主动安全措施实例

主动安全是一种安全哲学，其核心理念是在风险显现前最小化暴露面是安全资源的最佳利用方式。具体能力建设包括（但不限于）：

攻击面管理

旨在理解组织所有可能被黑客利用的入口点（数字、物理或人为）。攻击面包括已知/未知设备，还涵盖应用程序、软件、社交媒体账户等数字资产。

漏洞扫描

专用扫描器评估网络和IT资产的可利用漏洞并标记。由于存在数千已知漏洞（且每日新增），自动化扫描最为有效。外部扫描从外部审视网络，内部扫描模拟已入侵者的视角。

漏洞管理

漏洞扫描和攻击面管理共同支撑更长期的漏洞管理周期。这是识别漏洞、分级优先度并确定解决方案的持续过程。除严重性外，结合威胁背景（是否被活跃利用）和风险背景（利用后果）能更准确判断优先级。

暴露验证

通过攻击场景测试防御措施有效性，也称进攻性安全。主要方法：

• 渗透测试：道德黑客尝试入侵系统并提供改进建议
• 红队演练：模拟计划性网络攻击以发现防御弱点
• 对抗性暴露验证(AEV)：使用软件持续自主执行攻击模拟

补丁管理

通过补丁修复已识别的软件漏洞。与基于风险的漏洞管理结合的自动化工作流可缩短修复时间，减少人为错误。但影子IT是其盲区，需要攻击面管理的发现组件支持。

配置管理

针对设备本身（而非软件）的漏洞响应措施，如强制多因素认证、加密等。终端管理软件能有效执行这些配置。同样面临影子IT的挑战。

用户培训

攻击面包含人为因素。钓鱼攻击等社会工程学利用人为漏洞，通常与数字漏洞结合发起攻击。员工教育与数字漏洞修复同等重要。

获取支持的建议

由于威胁尚未显现，非安全利益相关者更难理解主动措施的必要性（如临时业务中断）。为获取支持：

• 最小化修复造成的干扰（如采用环形部署逐步推出更新）
• 通过风险评估量化暴露面的财务影响，使潜在威胁具象化

主动安全的价值

主动安全策略不与被动安全对立，健全的组织需要两者兼备。但预防性措施能改善风险状况，使风险事件更少发生。管理攻击面、打补丁、合理配置和用户意识等主动措施是对组织长期安全的明确投资。

常见问题

什么是影子IT？
指员工使用未经授权的软件、应用和设备。它会制造安全盲点，使团队难以确保所有漏洞都被识别和管理。