2017年网络威胁防御报告

rocky_gan 2017-07-02

展开全文

简介

本报告是由CyberEdge出品，CyberEdge是一家研究和咨询公司，得过不少奖项，CyberEdge每年都会出一份网络威胁防御报告（简称CDR）。今年的是第四年，本报告一方面从甲方的角度，从决策者的角度给出了很多统计数据，另一方面，也给乙方指出需求方向，可以参考。

赞助商里面也有不少熟悉的厂商。

2、简介

前三年的网络威胁防御报告（CDR）开始了一段旅程，使得我们可以超越重大漏洞和不断演变网络威胁，更好地了解IT安全小组采取的哪些行动可以防范威胁。勒索软件在2016年猖獗。对于大多数IT安全专业人员来说，相对于下一个变体技术细节，关于其他类似的组织使用什么策略和技术来进行防御工作更有价值。

早期版本的CDR中的内容包括：

在四分之一的安全专业人员怀疑他们的组织是否已经进行了足够的网络威胁防御投入（2014年）。
移动设备和社交媒体应用是IT安全的“最弱环节”（2015）。
最近，有10家机构中有9家正在寻求替代或扩大其终端安全工具（2016）。

第四个年度CDR追求的目标相同：不是向IT安全机构通报有哪些坏家伙的情况（Verizon已经做得很好），而是要传达全球类似的组织目前如何防御威胁，他们预期的投资。基于对IT安全决策者和从业人员的严格调研，不仅包括北美，欧洲，亚太和拉丁美洲，而且第一次也调研了中东和非洲，CDR调研了当前和计划的部署安全控制措施，以更好的处置问题和威胁，包括：

现有网络安全投资是否充足，包括IT整体情况和特定领域
网络攻击成功的可能性
对今天组织造成最大风险的网络威胁类型
哪些组织因素是建立有效的网络威胁防御的最大障碍
单个安全技术提供的操作、战术和战略的价值

通过揭示这些细节，我们希望帮助IT安全决策者更好地了解如何将他们的看法、关注、优先级和防御与其他IT安全专业人员及其组织的融合。本报告中的数据、分析和发现可以由IT安全团队使用，回答许多重要问题，例如：

我们在与其他组织相关的网络威胁防御有什么差距？
在防御策略中，我们落后了吗？（即由于其相对的薄弱，更有可能被攻击）？
我们跟踪方法和进展，继续关注传统的安全领域，例如加强终端安全性并减少攻击面了吗？我们在其他/新兴领域的投资如何、例如为云应用提供足够的数据保护，利用欺骗技术来破坏先进的威胁，并使用网络保险解决剩余风险？
我们的IT安全支出水平如何与其他组织的支出水平相比如何？
其他IT安全从业者对网络威胁及其防御有哪些不同的观点，我们应该如何调整我们的观点和计划来解决这些差异？

调查统计基础：

·来自1100个合格的IT安全决策者和从业人员的反馈
·调查对象都是有500名以上员工的组织
·代表北美，欧洲，亚太，中东，拉丁美洲和非洲的15个国家
·代表19个行业。

CDR的另一个重要目标是为IT安全技术和服务的开发人员提供信息，使得他们提供更好的解决方案，解决潜在客户的关注和需求。最终的结果应该是更好的市场牵引力和成功的解决方案，提供更好的网络威胁保护技术。

本报告的结果分为四个部分：

第1部分：现今安全情况

组织现有的安全基础，以及安全的运行情况决定了未来网络威胁防御的决策，例如：

是否，在多大程度上需要如何紧急变更
在现有防御措施补充哪些具体措施。

因此，我们评估了受访者对组织的投资有效性，以及策略与现有威胁态势的相关性。

第2部分：观点和关注点

我们对网络威胁防御的探索，从建立基线安全状态，转向确定与当今组织最相关的网络威胁类型和安全障碍。这些关注也是组织能够最好地改善网络威胁防御的重要指标。

第3部分：当前和未来的投资

IT安全团队必须通过自己的改变来跟上他们周围发生的变化（无论是业务、技术还是威胁态势）。

将受访者对威胁态势的看法和组织防御的有效性作为背景，本节不仅阐述了目前情况，而且揭示了他们计划在未来一年进行的投资。

第4部分：实践与策略

建立有效的网络安全防御不仅仅是简单地实施下一代技术，用于检测最新的难以捉摸的网络威胁。事实上，鉴于目前的大多数攻击行为都是由于威胁方利用已知的漏洞或配置的弱点所造成的，更为明智的策略可能是首先减少攻击面，然后采用一套重叠的以检测为重点的对策，来减轻剩余风险。

在最后一部分的研究结果中，我们首先来看看组织正在利用哪些技术来减少攻击面。然后，转向实施细节和投资某些安全技术的原因，以及组织正在采用哪些战略来解决IT安全人员不足的问题。

3、研究重点和亮点

第一部分现今安全情况

攻击的上升。2016年，近四分之五的受访者组织受到成功的网络攻击的影响，三分之一的组织在一年内被攻击了六次及以上（第6页）。
乐观主义占主导。超过三分之一的受访者认为，他们的组织2017年不太可能成为成功的网络攻击的受害者（第7页）。
移动设备最薄弱。连续第四年，移动设备被认为是IT安全最弱的环节，紧随其后的是其他终端用户计算设备（第8页）。
开发安全应用薄弱。安全的应用程序开发和测试是安全过程组织最有挑战的部分，其次是用户意识培训（第9页）。
无法监控特权用户。只有三分之一的受访者相信他们的组织已经进行了足够的投资来监测特权用户的活动（第10页）。
补丁管理困难。不到三分之一的受访者相信他们的组织的补丁管理计划有效地减轻了基于漏洞的恶意软件的风险（第11页）。
保险举足轻重。四分之三的受访者将其组织的网络保险投资水平评为足够（第12页）。

第2部分：观点和关注点

威胁在晚上出现（Threats keeping us up at night.）。恶意软件、网络钓鱼和内部威胁是IT安全最大问题（第13页）。
勒索软件预算不足。六分之一的受访者表示，他们的组织在2016年受到勒索软件影响，三分之一选择支付赎金以获取他们的数据（第14页）。
勒索软件是最大的噩梦。勒索软件导致的最大问题是数据丢失，第二是收入损失（第15页）。
微软留下后门？有三分之二的受访者对Microsoft对Office 365的安全措施不满意（第16页）。
雇员是问题。员工之间的安全意识低仍然是防御网络威胁的最大障碍，紧随其后的是熟练技术人员不足，IT安全团队分析数据太多（第17页）。

第3部分：当前和未来的投资

安全预算仍在上升。尽管企业整体IT预算的百分比是稳定的，但近三分之三的IT安全预算在2017预计将年再次上升（第19和25页）。
必须有网络安全投资。网络欺骗解决方案是是2017年排名最靠前的网络安全技术，其次是下一代防火墙和用户和实体行为分析（UEBA）（第20页）。
终端容器技术。2017年（第22和23页）计划采用的终端安全和移动安全技术排名靠前的是容器/微型虚拟化（Containerization/micro-virtualization）。
应用安全测试。数据库防火墙目前可能是部署最广泛的应用/数据安全技术，但应用程序安全测试工具是2017年最受欢迎列表的前列（第24页）。

第4部分：实践与策略

网络访问控制继续统治地位。网络访问控制（NAC）仍然是减少网络攻击面的首要技术（第26页）。
安全数据丢弃。虽然96％的受访者至少收集了一些全分组网络流量数据来支持其安全工作，但近四分之三的用户在四周内就可以丢弃了（第27页）。
利用CASB来保护敏感数据。防止敏感数据泄露是组织部署云端访问安全代理（cloud access security brokers）的首要原因（第30页）。
身份/凭证盗窃。阻止帐户劫持（Thwarting account hijacking）是部署用户和实体行为分析的组织的最佳用例，紧接是检测数据泄露（第29页）。
网络安全技能短缺危机。 10名受访者中有9人表示，其组织面临全球技术熟练的IT安全人员不足（第31页）。

（一）当前安全状况

1.1 以往的成功网络攻击频率

您的组织的全球网络在过去12个月内是否遭到成功的网络攻击？（N =1042）

组织遭受成功的网络攻击的数量不仅反映了当前的威胁态势，而且还反映了目前的防御措施的有效性。“超过十次”（10.7％），至少一次（79.2％）也达到历史新高。

中国经常被描述为最大的网络攻击来源，但中国也是最大的受害者 - 至少根据我们的数据，这显示了95.9％的中国受访企业遭到至少一次成功的网络攻击2016年。

1.2 未来的成功网络攻击的可能性

2017年，对组织的成功网络攻击可能会受到什么影响？（N =1056）

当被问及他们组织网络在未来一年会受到攻击的可能性时，受访者连续第四年看来更乐观。尽管近80％表示其组织在过去一年内已经受到影响（见图1），但只有61.5％认为在未来12个月内会再次发生“有可能”或“很可能”（见图3）。

由巴西（29.0％），加拿大（44.7％）和澳大利亚（45.6％）领导的乐观主义潮流。另一方面，中国（96.0％）和土耳其（78.0％）是旗手（见图4）。

1.3 IT域整体的安全情况

在1到5的范围内，5是最高的，评估组织在以下每个IT组件中的整体安全状态（防御网络威胁的能力）：（n = 1,088）

IT域防范网络威胁的感知能力的数据是不同（参见图5），可以帮助确定安全技术和服务的采购的优先级。

虽然受访者对物理和虚拟服务器的防御表现出相对较高的信心，但我们的结果发现，所有类型的客户端设备 - 特别是移动设备 - 是当今组织面临的最大的安全挑战。这个结果对我们来说是非常好的意义：有了更多的控制（例如服务器）比缺少控制（例如，移动设备），安全的投入可以更好地保护资源。

1.4 评估IT安全功能

在1到5的范围内，5个是最高的，评估您在以下每个IT安全功能领域中的组织能力（人员和流程）的充分性：（n = 1,086）

技术对策只是建立有效防御的一个部分。人员和流程也很重要。因此，今年，我们决定探索安全方面的软、非技术部分。

1.5 特权用户的监控功能

“我的组织已经对特权帐户/访问管理（PAM）技术进行了充分的投资，以监测具有特权访问权限的用户的活动。”（n = 1,089）

要求受访者指出，他们的组织是否已经对技术进行了充分的投入，以监测具有高级或特权访问权限（即特权用户）的用户的活动。只有三分之一（34.2％）的受访者对其组织监测特权用户的能力充满信心，只有5.8％的受访者认为他们的组织在这个至关重要的领域是疏忽的（见图7）。

有了特权账户，我们可以：取消应用服务器和网络的能力，获取敏感数据的权限，或者秘密地在计算环境中的任何设备上植入恶意代码。威胁攻击者设法得到为一个或多个特权帐户的凭据。那么，近一半的受访者（47.5％）只是“有点同意”他们的组织，对监控特权用户进行了充分的投资，真的是一件好事吗？据我们看，仍然有很大的改进空间。

其他发现：

墨西哥（51.5％），哥伦比亚（48.1％）和巴西（47.1％）被透露为特权帐户/访问管理的相对温床。相比之下，新加坡（16.3％），法国（21.6％）和日本（22.9％）是相对弱点。

政府（33.8％）和教育（27.0％）的受访者对其组织在这一领域的投资有中立或不利的看法，而金融（10.9％）最低。

特权帐户管理投资的充足性的认知，跟随组织规模向上的（按员工数量衡量）。

1.6 补丁管理能力

组织的补丁管理程序有效减轻与基于漏洞的恶意软件相关的风险”（n = 1,080）

有效的补丁管理程序是降低组织暴露恶意软件和其他类型的针对软件漏洞的网络威胁的一种可靠的方式。

快速浏览图8，五分之四以上的人都以“强烈同意”或“有些同意”作为回应，表明组织的补丁管理计划相对有效。

可是等等。如果真的是这样，那么为什么当我们看图10时，我们看到“恶意软件”被强调为最关心响应组织的网络威胁的类型？当然，并不是所有的恶意软件都是通过漏洞利用的。然而，我们怀疑，这个差距与近一半的受访者有关，他们只是“有点同意”他们组织的补丁管理程序的充分性。对我们来说，这个特别的回应表明还有很大的改进空间。

1.7 网络保险覆盖面的充分性

在以下声明中描述您的协议：“我的组织已经充分投入了网络保险”（n = 1,073）

毕竟，攻击行为正变得越来越普遍（见图1），与攻击相关的成本持续上涨（Ponemon Institute的“2016年数据违约成本研究”将数据泄露的平均成本降至400万美元，比2013年增长了29％）。

也就是说，2015年的网络保险的市场规模只有约20亿美元，其作为风险管理工具的使用远非普遍。

随着精算数据的不断发展，网络保险的接受率会逐渐增加。

（二）观点和关注点

2.1 网络威胁的类型

以1到5的比例为5，最高为5，给每个类型的网络威胁排序。（N =1090）

恶意软件成为最受关注我们受访者的网络威胁（见图10）。尽管勒索软件过去一年关注度很高，勒索软件只排在中间位置。

2.2 勒索软件痛点

勒索软件的在哪个方面潜在影响您的组织？（选择一个。）（n = 1,083）

勒索软件（特别是加密品种）已经从一个以消费者为中心变成了对所有类型和规模的企业的威胁。其中在2016年第一季度的统计是2.09亿美元的赎金支付后，预计赎金将导致的总损失将超过10亿美元（source: http://money./2016/04/15/technology/ransomware-cyber-security/).

“数据丢失”（37.7％）超过了最接近的竞争对手，“停机/生产力下降”（27.2％），这些结果表明企业现在承认数据实际上是金钱！

其他显着发现：“停机/生产力损失”占制造业（35.9％）和零售行业（35.0％）的榜单，“数据丢失”是卫生领域的领先者（54.8％）。

2.3 勒索软件的响应

如果在过去12个月内受到勒索软件的伤害，您的组织是否用赎金（使用比特币或其他匿名货币）来取回数据？（N =1085）

就像每一类威胁一样，勒索软件正在发展。同时，勒索即服务的出现使得攻击实现起来非常容易，影响的范围扩大将到包括医疗、工控和物联网设备。

数据显示，2016年，有61％的组织受到勒索的影响。受影响的组织，大部分（54.3％）在不支付赎金（见图13）的情况下恢复了数据，大概是通过数据备份。近三分之一（32.7％）支付赎金来收回数据，13％的人拒绝赎金并丢失数据。

墨西哥（87.9％）和中国（76.0％）组织的命中率最高（见图14）。

2.4 Microsoft Office 365安全感知

是否同意“Office 365部署中，我对Microsoft提供的安全措施感到满意。”（n = 1,091）

让我们面对这一点，微软做了很多正确的事情，但安全性并不总是这样。 Microsoft Windows是一个很好的例子。虽然在过去十年左右的情况有了明显的改善，但长期以来Windows都是最流行的桌面操作系统（基于采用率），而且也是从安全角度来看最不好的一个（由于漏洞频率和严重程度）。

虽然三分之一的受访者表示他们“非常同意”声明“我对Microsoft提供的安全措施以确保我们的Office 365部署感到满意”，多数并不认可（见图15）。

对我们来说，这表明还有很大的改进空间，在某些情况下，第三方安全解决方案甚至可能是一个更明智的选择。

2.5 建立有效防御的障碍

以1到5的比例，5是最高的，评价以下每一个如何阻止你的组织充分保护自己免受网络威胁。（N =1087）

今天的威胁方似乎有无限的能力，他们只需要找到一个弱点。作为防御者，IT安全团队只能猜测黑客的下一步行动，并且必须为每个用户、终端、服务器和应用程序提供防护。

（三）当前和未来的投资

3.1 IT安全预算分配

您IT预算中有多少比例用于信息安全（例如产品，服务，人员）？（N =1046）

首先，IT安全预算总体保持相当健康。十年前，大多数安全小组正在围绕着IT预算的3％-5％。现在，超过85％的受访者组织超过了这一水平（见图17）。 10个中的近6个将其预算的10％以上分配给安全性。

在“大7行业”（见图18）中，组织的教育（22.6％），政府（22.8％）和医疗保健（24.6％）最低（安全花费超过16%的组织中）。

3.2 网络安全技术部署状态

您的组织目前正在使用或计划购买（计划在12个月内）以下哪一种网络安全技术来保护所有网络资产免受网络威胁？（N =1075）

要求受访者给出网络安全技术清单部署状态：正在使用的、计划在12个月内进行采购，或者没有规划（端点，移动和应用程序安全技术在后续章节中讨论。）

表1提供了可视化和数字的表示。深蓝色的百分比对应于采用和/或采购计划的频率更高。浅蓝色的百分比对应于较低的采用率和/或采购计划。

我们的第一个观察结果是今年的结果几乎是2016年的复制。例如，高级恶意软件分析采用率最大的变化是+ 3.2％，而最大的负变化只有-4.4％和-3.9 ％，分别为拒绝服务预防和数据防外泄。

下一代防火墙和威胁情报服务继续呈现出有希望的轨迹，39.2％和37.1％的受访者表示了在2017年采用此类解决方案的意图。

虽然蜜罐/网络欺骗（35.6％）的目前有相对较低的采用率，但是也是2017年计划的网络安全技术的TOP位置（见后面章节）。

由于多种分析/分析技术（即安全性，网络和用户行为）和SIEM在未来一年的仍是是采用的领先者，很明显，用于监控和分析网络流量以提升网络威胁的支持能力在许多组织是优先考虑的。

仔细观察表格内容对大多数安全解决方案提供商都是有利的：平均采用率徘徊在大约50％左右，仍然有很多机会可以额外销售这些重要的网络安全技术。

3.3 终端安全部署状态

以下哪些终端安全技术目前正在使用或计划（12个月内）保护桌面，笔记本电脑和服务器来防范网络威胁？（N =1036）

3.4 移动安全部署状态

您的组织目前正在使用或计划采购（计划在12个月内）以下哪种移动安全技术来保护移动设备（智能手机和平板电脑）以及数据，以防止网络威胁？（N =1075）

当然，移动安全技术较弱采用的另一个潜在原因可能是认为缺乏相关的威胁。尽管我们预计这种情况很可能会发生变化，至少目前来说，针对移动设备的网络威胁仍然主要以消费者为导向/集中。支持这一点的进一步证据来自2016年“Verizon数据泄露调查报告”，该报告指出，现实世界移动技术的数据并没有作为对组织的攻击向量。

3.5 应用和数据安全技术部署状态

以下哪些应用程序和以数据为中心的安全技术是目前正在使用或计划于12个月内由企业采购（以保护企业应用程序和相关数据库免受网络威胁）？（N =1045）

证据表明，企业正在继续更加重视保护：业务所依赖的敏感数据及应用。

主要发现：

数据库防火墙（65.4％）和Web应用程序防火墙（64.9％）继续占据应用程序/数据安全技术最广泛的TOP位置。

随着采用率（6.3％）同比增长最大，应用交付控制（ADC）成为强大的应用/数据安全平台。

随着应用率（4.6％）第二高的增长，应用安全测试再次成为计划在未来一年收购的最高级别的安全技术，可以说是使其成为该市场最热门的技术。

我们关于这个话题的结论：随着全面采用率的提高，我们可以放心地说企业确实在重点关注应用和数据安全领域。

3.6 IT安全预算变化

您是否希望整体IT安全预算在2017年有所增加或减少？（N =1074）

连续第四年，我们的数据显示，IT安全预算状况良好。现在有四分之三以上的受访者表示，其组织的安全预算预计在未来一年会有所增长（见图19）。五分之一组织预算增加了“10％以上”，而预算在2017年预计会下降4.2％。

（四）实践与策略

4.1 减小攻击面的技术

您的组织经常使用以下哪种技术来减少网络的攻击面？（选择所有适用的）（n = 1,070）

受访者也选择NAC作为降低网络攻击面的首要技术（见图21）。安全配置管理第二位，甚至达到了几个百分点（50.4％）。

处在中间位置的是文件完整性监控（45.4％）和两个新进入者：补丁管理（45.9％）和用户权限/特权管理（43.7％）。再次，漏洞评估/管理技术（30.5％）被指定为最不受欢迎的攻击面削减技术。

其他发现：所有列出的技术只有中国企业的平均使用率大于50％。

4.2 网络取证的数据保存实践

平均来说，您的组织保留全包流量数据多长时间，以协助网络取证调查？（N =1038）

至少对于与关键业务资产/应用相关联的网络位置，网络通信的全包捕获通常被认为是可取的（如果不是最佳实践）。所产生的数据缓存是IT团队可用于支持各种重要流程的资源 - 不仅是对过去发生的安全事件，还包括可疑事件，持续攻击和攻击行为的详细调查。

由36.2％的受访者提供的最常见答案是“2-4周”（见图22）。较不普遍的选择是“1-2周”（29.2％），“超过4周”（21.5％）和“不到1周”（8.7％）。

4.3 威胁情报实践

组织集成了商业和/或开源威胁情报的原因（选择所有适用的）。（n = 1,075）

（即第三方）威胁情报服务仍然是组织寻求加强网络威胁防御的最热门投资领域之一（见表1）。但IT安全团队如何实际使用这种有价值的资源 - 其中包括从普通威胁指标（例如文件散列和声誉数据）以及威胁数据feed（例如恶意软件分析和趋势数据）到战略智能（对手和他们的动机、意图、战术、技巧和程序的细节）？

来自今年数据的一个特别有趣的发现是除了阻断之外，四种用例中的每一种都有增量增长。这些增加表明，IT安全团队正在稳步发展和完善其情报相关实践，因为他们开始更全面地利用现有的情报数据。

4.4 用户和实体行为分析实践

选择组织采取用户和实体行为分析（UEBA）技术的原因。（选择所有适用的）。（n = 1,065）

在去年CDR中，我们提出：“更多的数据泄露是由凭证盗窃导致的，威胁方伪装成授权用户”，并作为建议，组织应考虑“以用户为中心的安全性”。显而易见，我们的意图不是分散新的重点关注“以应用程序和数据为中心的安全投资”;而是提醒对用户意识培训、核心身份认证和访问管理的关注，同时也提出对用户和实体行为分析（UEBA）这种新兴技术的关注。

UEBA目前是市场上最热门的安全技术之一（见表1）。使用UEBA来检测帐户劫持（52.5％）,略微减小了检测数据泄露（48.9％），检测权限访问滥用（48.0％）和防御反对内部威胁（47.8％）。

同时，同样重要的是要认识到，UEBA的潜在用例不仅限于图24中突出显示的用例。事实上，该领域的早期反馈意味着安全团队正在寻找许多方法来利用行为建模、机器学习和高级分析能力...不仅有助于解决他们面临的许多最大挑战（见图16），还可以提高其他防御的有效性。

4.5 云访问安全代理实践

选择组织运行云访问安全代理（CASB）技术的原因。（选择所有适用的）。（n = 1,062）

CASB绝对不像网络防火墙或反恶意软件软件一样普及。云应用和基础设施服务的加速采用，云服务提供商提供的本地安全功能的广度和深度持续不一致，领先的CASB的丰富功能集和灵活性都是有利的（见表4）。

过去一年为了合规性，CASB从2016年的26.5％上升到了2017年的41.6％。

4.6 克服IT安全技能短缺

您的组织采取以下哪些策略来克服全球资优的IT安全人才短缺？（选择所有适用的）。（n = 1,063）

我们经常遇到标题和文章，声称全球缺乏一到二百万熟练的网络安全人员。但是这些数字是合理的估计，还是只是夸张的声称引起了人们的关注？

鉴于10个受访者中有9个表示其组织正在经历IT安全人才短缺（见图26），我们倾向于相信估计。至于组织如何应对短缺，最常引用的方法是利用外部人才来源，如承包商或安全服务提供商（51.0％）。以追求和留住人才（41.7％）和重新培训其他IT领域的员工，甚至广泛业务（39.4％）的手段，增加薪酬和/或收益）。

（五）未来之路

残酷的现实就是，黑客的工业化使得攻击者能够更容易地获得成功，而稳步扩大的攻击面使得IT安全团队成功地阻止他们变得更加困难。

很多组织仍然有很大的改进空间，即使在被认为是核心防御的这些领域。例如：

所有类型的重点设备 - 特别是移动设备（如智能手机和平板电脑）是大多数组织防御的相对薄弱环节（见图5）。
虽然是在在未来一年类采购的解决方案之一，但许多新兴技术，可以用作监测和抵御高级恶意软件和有针对性的攻击（例如用户和实体行为分析以及网络威胁情报服务）显示只有相对适度的采用率（见表1）。
只有三分之一的IT安全专业人员相信，他们的组织采用了监控特权用户帐，以发现户的滥用和/被攻击的迹象（见图7）。
用于减少网络攻击面的关键技术（如补丁管理，渗透测试和漏洞扫描）的采用率仍然令人震惊（见图21）。

证据表明，网络安全现在是更多组织的董事会主题。安全预算增长的事实也是一个令人鼓舞的迹象（见图17至20）。获得额外的资金可以使企业安全团队不仅能够填补组织防御中的已知空白，还可以开始在游戏中前进。

在调查范围之外，以下是一些关键领域，我们认为有可能加强组织对当代和未来几代网络威胁的防御。

欺骗技术（Deception technology）。毫无疑问，复杂的攻击者越来越多地渗透企业防御，并随后在内部网络上经常畅通无阻，持续数月。复杂的原因是由现有检测/行为分析/分析技术产生的大量事件和误报。新出现的欺骗技术有望在两方面得到缓解。相关解决方案超出了传统蜜罐/蜜罐的基本方法，其重点是收集威胁情报 - 提供更广泛的功能。产生的价值包括：

几乎总能识别正在进行的攻击的高概率告警
增加成本，从而对攻击者造成更大的威慑力
使用无用的文件/数据来欺骗攻击者的能力
增强事件优先级和关于威胁方的情报

前瞻性IT安全团队评估欺骗技术是提高网络威胁防御的一种方式，将重点放在解决基本要求的解决方案上。领先的解决方案应该提供：

覆盖所有层计算堆栈（例如，终端，网络，应用程序，数据）和各种诱饵类型（例如桌面，服务器，交换机，ATM / POS /医疗/ IoT设备）
广泛的自动化，用于诱饵生成、部署和维护
创新技术，用于隐藏用户，拖延攻击者时间，所以安全团队有足够的时间响应
与威胁情报的集成（例如具有防御/响应能力的安全基础设施）

容器安全（Container security）。因为它为开发人员提供了许多令人信服的好处 - 包括简单的封装，快速部署，减少的环境依赖性和可扩展性 - 容器技术/解决方案（如Docker）都是此类技术。然而，这种情况从安全的角度来看是一个重大挑战。容器不仅是一种新的/不熟悉的技术（至少是安全专业人士），而且实际上根据定义，它们降低透明度和可审计性。

IT安全团队希望得到（或至少跟上）最新的应用安全态势，应该认识到容器安全仍然不成熟。因此，通常有必要超越组织的容器技术提供商来建立综合防御。关于这些防御措施应该包括哪些内容，我们建议企业通过在以下各个领域确定和应用最佳实践（例如最小特权），采取多层的方式来实施容器安全，现有的对策和新兴技术在以下各个领域：

构建环境（例如，构建工具的控制访问/使用，以及容器的代码的安全性测试）
容器环境（例如，控制容器的许可和审查其内容）
运行时保护（例如，保护容器引擎和主机OS，免受任何恶意的容器，并提供网络层隔离）
监控和审计（例如，验证您的容器和安全控制是否按预期运行）

远程/虚拟浏览。这种新兴技术通过在内部（on-premises）或基于云的服务器上运行的一次性虚拟机中隔离每个浏览会话而起作用。没有网站内容在用户的机器上执行（甚至在这个问题上执行），而在会话结束时，虚拟机和任何潜在的感染都不存在了。

攻击模拟。企业对网络攻击的持续敏感性并不是没有部署适当的预防和检测技术的结果。在许多情况下，真正的问题是，我们的防御已经变得如此复杂，几乎不可能知道防御措施是否正确实施，是不是随着时间的推移，仍然按计划进行工作。

渗透测试，漏洞/配置扫描和其他验证技术在这方面肯定有所帮助，但是它们也有显着的局限性，例如依赖于测试人员的技能，较小的覆盖面，并且仅仅提供某个时间点评估。新兴的攻击/破解模拟平台解决了传统解决方案的缺点，例如，通过整合“黑客手册”，对组织的生产环境进行持续的，无中断的模拟，并与现有的安全基础架构集成，实现自动化响应和补救。

最终的结果是一个新的安全解决方案，不仅能清楚地了解组织的安全系统是否真正正常工作，以及其实际风险在任何时候，还可用于：