4.6　威胁生命周期管理

在威胁生命周期管理方面的投资，可以使组织在攻击发生时立即阻止攻击。对于当今的任何一家公司来说，这都是一项值得的投资，因为统计数据显示，可看得见的网络入侵并没有减缓。从2014年到2016年，网络攻击增加了760%。网络犯罪正在增加的原因有三个。首先，有更多有动机的威胁行为者。对于一些人来说，网络犯罪已经成为一种低风险、高回报的业务。尽管入侵数量增加，但定罪率一直很低，这表明被抓获的网络罪犯非常少。

与此同时，组织正在因这些动机强烈的威胁行为者而损失数十亿美元。入侵数量增加的另一个原因是网络犯罪经济和供应链的成熟。如今，只要网络罪犯能够支付相应的金额，他们就能够得到大量待售的漏洞和恶意软件。网络犯罪已经成为一项业务，因为有充足的供应商和有意愿的买家。随着黑客主义和网络恐怖主义的出现，买家正在成倍增加。因此，这导致入侵事件的数量史无前例地增加。

最后，由于组织攻击面的不断扩大，入侵事件呈上升趋势。新技术的采用，带来了新的漏洞，从而扩大了网络犯罪分子可以攻击的范围。

物联网作为组织技术的最新补充之一，已经让不少企业遭受黑客攻击。如果组织不采取必要的防范措施来保护自己，未来的前景将暗淡渺茫。

现在可以进行的最佳投资是在威胁生命周期管理方面，这样才能根据所处的阶段对攻击做出适当的响应。2015年，Verizon的一份调查报告称，所有调查攻击中，有84%的攻击在日志数据中留下了证据。这意味着，运用适当的工具和思维方式，这些攻击本可以在足够早的时候得到缓解，防止损害。

威胁生命周期管理有六个阶段。

如图4-12所示，第一阶段是取证数据收集。在检测到全面威胁之前，在IT环境中可以观察到一些证据。威胁可能来自IT的七个域中的任何一个。因此，组织可以看到的IT基础设施越多，可以检测到的威胁就越多。

图4-12　威胁生命周期管理的步骤

威胁生命周期管理六个阶段包含从取证数据收集到发现、鉴定、调查、消除和恢复等阶段。