网络威胁形势正在迅速发展，每个企业都面临风险。随着自动化程度的提高和越来越活跃的网络威胁参与者，没有任何组织“太小而不能成为目标”。每家公司都有可能对攻击者有价值的数据，或者如果被勒索软件加密，可能会获取赎金。2021年，全球有四分之一的公司受到勒索软件的影响，比上一年增加了59%。

组织的网络风险水平取决于各种因素。虽然组织的规模及其运营所在的行业发挥着作用，但企业安全战略和当前的网络安全解决方案架构也发挥着作用。每家公司都将成为网络攻击的目标，而业务连续性取决于组织对这些威胁做出适当响应的能力。网络安全战略是组织为降低网络风险和防范网络大流行而制定的计划。

如何为您的企业制定网络安全战略

企业网络安全战略应根据组织的独特安全需求量身定制。不同行业和地点的小型、中型和大型企业可能面临非常不同的威胁并具有不同的安全要求。在这里，我们整理了六个步骤，让您开始制定和实施有效的网络安全战略。

#1、了解网络威胁形势

每个组织都面临着取决于各种因素的独特网络威胁环境。年复一年，网络威胁参与者都将精力集中在不同类型的攻击上，例如最近激增的勒索软件活动。当某些威胁行为者针对某些行业或地理区域时，组织的行业和位置起着重要作用。一家公司面临的网络威胁也可能受到其他因素的影响，例如它是否拥有基于云的基础设施、物联网系统是否连接到公司网络，或者互联网和暗网上的可用数据类型。

有效的网络安全战略需要清楚地了解组织可能面临的网络威胁。公司可以深入了解来自各种来源的潜在威胁，包括：

在确定可能面临的威胁后，组织可以制定策略来预防和防范这些威胁。然后可以部署网络安全解决方案、流程和程序，以最大限度地提高它们对公司风险敞口的影响。例如，部署反勒索软件防御应该是当前网络威胁形势的主要优先事项。

#2、评估您的网络安全成熟度

平均而言，组织将大约21%的IT预算用于网络安全，因此中小型企业的安全计划可用的资源与财富500强公司的资源有很大不同。公司的年龄、资源可用性、监管要求和其他因素都会影响组织的网络安全成熟度。这些不同的成熟度水平会影响组织遭受成功攻击的可能性及其对公司的影响。

网络安全成熟度评估从组织IT基础设施的清单开始。了解公司拥有的IT资产及其收集、存储和处理的数据类型，有助于深入了解组织需要管理的安全风险类型。例如，处理高价值财务或医疗保健数据的组织需要实施比处理不太敏感数据的组织更严格的数据隐私和分类安全控制。此外，不同类型的IT设备和基础设施面临不同的安全风险，必须加以管理。

在确定组织的资产及其相关威胁和风险后，公司可以开始将其现有的安全控制与保护这些资产所需的安全控制进行比较。在评估安全成熟度时，合规标准、框架和基准可能是有用的工具。

#3、利用安全基准和合规标准

制定有效的安全策略似乎势不可挡。组织不需要从头开始。存在许多资源，它们为如何实施安全最佳实践和为组织制定有效的安全策略提供指导。

公司还可以选择遵守可选标准，例如ISO27001或SOC2。如果组织受这些法规的约束，那么标准概述的所需安全控制是网络安全战略的良好起点。

如果组织的安全策略是内部驱动的，则存在许多标准和框架来帮助实现这一点，并且还可以支持合规性工作。一些示例包括NIST网络安全框架(NISTCSF)和互联网安全中心(CIS)前20名控制。这些标准包括网络安全最佳实践，使组织能够将其安全战略与HIPAA和PCIDSS等法规保持一致。

#4、同时利用预防和检测方法

通过以检测为中心的安全策略，组织部署了旨在识别潜在威胁并触发事件响应的网络安全解决方案。虽然威胁检测是网络安全策略的一个有用组成部分，但它本质上是被动的。当组织采取行动时，威胁已经存在并且可能存在于组织的系统中，从而为攻击者提供了窃取数据、造成损害或采取其他恶意行动的机会。

有效的网络安全策略侧重于威胁预防而不是威胁检测。通过识别组织可能受到攻击的各种方式并缩小这些安全漏洞，组织可以消除攻击对组织的潜在风险和成本。应尽可能使用威胁预防解决方案来消除威胁，并应得到检测技术的支持，使组织能够识别和响应绕过漏洞的攻击。

#5、设计网络安全架构

了解网络威胁形势和组织当前的安全成熟度有助于深入了解安全策略应解决的问题。通过以预防为重点的方法实施的网络安全标准为这样做提供了指导。有了这些信息，公司就可以开始设计网络安全架构。

网络安全架构的设计应基于安全最佳实践。要纳入的一些关键概念包括：

#6、整合安全基础设施

安全团队面临的最常见挑战之一是由于独立安全解决方案的断开架构而导致的过载和倦怠。组织在其网络中部署的每个独立解决方案都必须经过配置、维护和监控才能有效。在人员有限的情况下，与此相关的开销会导致漏检、可见性和安全漏洞。

有效的安全策略由统一的安全架构支持。借助集成的安全架构，安全分析师可以从一个位置监控和管理其安全基础架构。这提供了许多好处，包括：