当前，企业组织面临越来越多的网络安全威胁，在资源和专业人才有限的情况下，借助新一代安全技术实现企业安全运营工作自动化成为企业的必然选择。SOAR（安全编排自动化与响应）技术因其在安全自动化响应方面独具优势，能够帮助企业解决安全事件响应过程中人员短缺、改进警报分类质量和速度等问题，受到更多企业用户的关注。

从实战角度看，SOAR 有三个核心思想：一是安全分析处置经验总结固化重用；二是安全分析处置操作尽可能自动化；三是 SIEM、安管、态势感知等产品的能力延伸。SOAR 建设不是一蹴而就的，按照经验其合理的推进过程为：首先，建立 SIEM、安管、态势感知等平台，汇聚安全数据，建立专业安全运营团队，实现安全数据集中化研判分析；其次，建立 SOAR 平台，将安全运营团队中最常开展的研判分析任务固化为剧本，开展自动化辅助研判；最后，完善 SOAR 剧本库，根据大部分安全运营团队工作，梳理可固化的剧本，接入所需联动对象，提升完善 SOAR 剧本库，最大化地开展自动化运营。

SOAR 的本质是通过安全编排、自动化与响应技术将安全运营相关的人、技术和流程进行整合，有序处理多源异构数据，持续进行安全告警分诊与调查、攻击分析、威胁处置、事件响应，衡量并改善安全运营效率、简化安全运营管理、为安全团队赋能。其短期目标是实现手动任务和重复性任务的自动化，缩短威胁的补救时间，长期目标是从综合安全运营视角找到可以量化、标准化的抓手去提升安全运营成熟度。

调研机构Forrester Research公司在最近发布的一份调查报告中指出，只有18%的企业优先将安全支出用于构建专门的内部威胁计划，25%企业则将支出用于防范外部威胁。内部威胁计划协调不同业务部门的政策、程序和流程，以应对内部威胁。它被广泛认为对缓解内部威胁至关重要，企业该如何开始构建内部威胁计划呢？

首先，企业需要专门的工作组来帮助指导内部威胁计划。工作组成员需要有明确的角色和责任，并采用同一套道德准则或签署保密协议。这是因为有许多与员工隐私和监控相关的法律，以及在制定和执行政策时必须考虑的法律和担忧。工作组的第一项工作将是制定运营计划，并制定防范内部威胁政策的高级版本。然后，他们需要考虑如何盘点和访问内部和外部数据源。为此，工作组成员需要熟悉特定数据集的记录处理和使用程序。一旦创建了收集、整合和分析数据所需的流程和程序，应该根据数据的用途对数据进行标记。

实施内部威胁计划的目的是确保不仅业务、数据或流程受到保护，而且员工也受到保护。通过秘密监控工作流，可以更准确地标记危害指标，帮助防止事件升级。但是，当不可想象的事情发生时，如果毫无戒心的员工泄露了敏感数据，那么拥有强大的可防御流程(这些流程已经记录了事件)，就可以更轻松地进行数字取证调查，并迅速解决问题。

数字化让世界变得越来越小，信息变的越来越有价值，数字化也增加了帐号信息泄露、计算机遭窃取及劫持等风险，主要是恶意软件攻击、勒索钱财，不过并非没有办法，跟随五项安全基本原则帮您抵御恶意/勒索软件攻击。

1.了解常见的网络钓鱼例子。用来网络钓鱼的电子邮件通常还包含附件或链接，建议不要打开这些可疑的电子邮件并且立即将它删除。

2. 设置双重身份验证。大多数的服务现在都提供双重身份验证功能，尤其是涉及敏感个人数据时，以防黑客攻击。

3. 部署SSL证书以确保安全。部署SSL证书，网站实现https加密，可以验证网站的真实性，辨别钓鱼网站。

4. 避开可疑链接、邮件和附件。平时在上网时一定要谨慎，千万要避开这些不安全的链接、邮件或附件。

5. 弥补系统漏洞。定期全面检查企业现行办公系统和应用，发现漏洞后，及时进行系统修复，避免漏洞被黑客利用造成机密泄露。

卡内基梅隆大学软件工程研究所的研究员 Rachel Kartch建议组织实施四个最佳实践来缓解 DDoS 攻击。

1）使架构尽可能具有弹性。组织应分散资产以避免向攻击者展示有吸引力的目标。将服务器部署在不同的数据中心，确保数据中心位于不同的网络，路径多样，确保数据中心和网络不存在瓶颈和单点故障。

2）部署可以处理 DDoS 攻击的硬件。组织应使用旨在保护网络资源的网络和安全硬件中的设置。许多下一代网络防火墙、Web 应用程序防火墙和负载均衡器可以防御协议和应用程序攻击。还可以部署专业的 DDoS 缓解设备。

3）扩大网络带宽。如果组织负担得起，他们应该扩展带宽以吸收容量攻击。对于没有财务资源来投资更多带宽的小型组织而言，这一步可能很困难。

4）使用 DDoS 缓解提供商。组织可以求助于专门响应 DDoS 攻击的大型提供商，方法是使用云清理服务来处理攻击流量，在流量到达组织网络之前将其转移到缓解中心。

1）数据安全治理评估。开展数据风险发现过程——数据安全治理评估——才能对自身业务最核心的数据安全风险采取技防监测、控制手段解决，

2）数据安全组织结构建设。在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，所有部门均需要参与安全建设当中

3）数据安全管理制度建设。从业务数据安全需求、数据安全风险控制需要及法律法规合规性要求等几个方面进行梳理，最终确定数据安全防护的目标、管理策略及具体的标准、规范、程序等。

4）数据安全技术保护体系建设。具体保护要求及措施，可参照国家相关法律、法规、标准及自身的数据安全相关管理制度、规范、标准执行。

5）数据安全运营管控建设。数据安全保障体系因其业务的持续性，需要进行长期性服务，建立完善的数据安全运营团队是必然选择。

6）数据安全监管。公安机关作为监管单位，将依法履职尽责，对数据处理者履行数据风险监测与风险评估等数据安全保护义务等行为依法开展监督管理。

数据安全保障体系六步走，共分为数据安全治理评估、数据安全组织结构建设、数据安全管理制度建设、数据安全技术保护体系建设、数据安全运营管控建设、数据安全监管建设。数据安全保障体系建设需要明确“技术”与“管理”并重思路，把“技术”作为“管理”的延续，即基于数据全生命周期构建数据安全指标，借助丰富的数据安全监测手段以及快速响应机制等，通过技术手段的不断进步逐一落实数据安全管理目标。

据Bleeping Computer消息，安全研究人员发现了一种新型的恶意软件传播活动，攻击者通过使用PDF附件夹带恶意的Word文档，从而使用户感染恶意软件。

类似的恶意软件传播方式在以往可不多见。在大多数人的印象中，电子邮件是夹带加载了恶意软件宏代码的DOCX或XLS附件的绝佳渠道。随着人们对电子钓鱼邮件的警惕性越来越高，攻击者开始转向其他的方法来部署恶意软件并逃避检测。其中，使用PDF来传播恶意软件就是攻击者选择的方向之一。在HP Wolf Security最新发布的报告中，详细说明了PDF是如何被用作带有恶意宏的文档的传输工具，这些宏在受害者的机器上下载和安装信息窃取恶意软件。在HP Wolf Security发布的报告中，攻击者向受害人发送电子邮件，附件被命名为“汇款发票”的PDF文件，而电子邮件的正文则是向收件人付款的模糊话术。当用户打开PDF文件时，Adobe Reader会提示用户打开其中包含的DOCX文件。攻击者巧妙地将嵌入的Word文档命名为“已验证”，那么弹出的“打开文件”提示声明就会变成文件是“已验证的”。此时，出于对Adobe Reader或其他PDF阅读器的信任，很多用户就会被诱导下载并打开该恶意文件，恶意软件也就进入了受害者的电脑中。

数据访问管理是组织进行的一个过程，用于确定谁可以访问哪些数据资产。使公司能够保护机密信息、定义数据所有权并实施托管访问控制，使用户能够实现数据驱动的创新。实施成功的数据访问管理的步骤包括：

1）发现和分类敏感数据。一旦发现所有数据的存储位置，需要采取进一步的步骤来标记、分类和评分它的敏感性。当数据是正确分类，可以集中精力保护最敏感的数据资产。将能够更有效地查明资源和工作。

2）分配访问控制。用在数据访问管理计划的第一阶段完成的风险评估，可以为各个业务用户创建访问控制。但是，与其逐个用户授予访问权限，不如根据定义的角色、职责和分类来分配权限。

3）分析用户行为。该过程目的是分析业务用户如何更改、复制、创建或删除贵公司系统中的敏感数据。此分析将能够确定用户是否有权进行他们所做的修改以及是否需要撤消任何更改。

4）审查合规要求。对于许多监管机构来说，仍然需要通过填写合规证书来证明不会违反任何合规性法规。