业务驱动：应对复杂安全挑战与威胁转变

业务驱动安全是一个现代信息安全战略的核心理念，它强调将企业的商业需求和风险置于安全措施设计的中心。首席执行官们不再仅仅关注技术层面的安全，而是关心如何通过有效的安全策略来应对商业风险。随着网络安全事件的频繁发生，如2016年德国电信路由器的Mirai僵尸网络攻击和日本DII的入侵事件，传统的单点防御方法已显得力不从心，因为攻击者的手段和目的都在不断演变，从单纯的炫技到追求经济或政治利益。 典型的网络安全方案过去主要集中在单机安全、边界安全，甚至无边界安全的防护上，随着攻击目的的转变，安全防护的范围和重心也随之调整。然而，单纯依靠攻击防御已经难以应对，因为攻击的本质是为了获取有价值的信息，这就要求安全策略从静态的漏洞管理转向动态的威胁检测。 从安全风险管理转向安全威胁检测的关键在于，不仅要发现已知的网络和应用攻击，还要包括未知的单点威胁。这涉及到多种检查方式，如系统级沙箱、应用级沙箱、API调用检查、内存溢出检查等，通过这些方法可以关联不同阶段的威胁，从而及时发现可能的入侵事件。这种转变意味着安全工作不再是孤立的，而是嵌入到业务流程中，通过收集和分析系统日志、业务流量、应用日志等数据，构建业务行为模型来识别异常行为，与恶意特征库检测相结合，形成全面的威胁识别体系。 恶意特征库检测虽然能提供较高的检测准确性，但无法涵盖所有可能的攻击特征，特别是对于未知或新型攻击。相比之下，基于业务行为模型的检测更为适合，因为企业的业务系统尽管种类繁多，但它们的正常运行模式通常是可以预测的，通过学习和建模这些模式，可以更有效地识别和响应业务环境下的异常行为，从而更好地保护企业资产。 业务驱动安全要求企业从被动防御转向主动出击，通过深入了解业务流程，构建适应业务场景的安全框架，实现对潜在威胁的实时监控和有效应对，确保企业在不断变化的网络环境中保持业务的连续性和稳定性。