NovVista Tech Brief

Global tech intelligence, tools, and practical AI workflows.

Security & Infrastructure

从预防到韧性:网络安全新范式

ByMichael Sun

Apr 2, 2026 #cybersecurity, #devops, #prevention, #resilience, #security
Language:Chinese VersionEnglish Version

二十年来,网络安全行业一直建立在一种基本假设之上:如果你建造足够坚固的城墙,就能将攻击者拒之门外。防火墙、入侵检测系统、终端保护和访问控制都旨在以预防为主要目标。到2026年,这一假设终于彻底终结了。新的范式是弹性——接受入侵事件会发生,并优化为快速检测、响应和恢复,而非追求完美预防。

## 为什么预防已不再足够

这种转变是由冰冷、硬核的数据驱动的。IBM X-Force 2026威胁情报指数揭示,基本的安全卫生失败——未打补丁的系统、弱凭据、配置错误的云服务——仍然是主要的攻击向量,尽管在预防技术上投入了数十亿美元。组织失败并非因为缺乏复杂的防御措施,而是因为攻击面增长速度超过了任何预防策略所能覆盖的范围。

勒索软件继续成为增长最快的威胁类别,攻击数量同比增长67%。平均勒索要求已攀升至430万美元,而勒索软件事件的总成本——包括停机时间、恢复和声誉损失——平均为970万美元。更令人担忧的是,攻击者现在专门针对备份,破坏组织在不支付赎金的情况下恢复的能力。

攻击的复杂程度也大幅提高。国家行为者和资金充足的犯罪组织正利用AI来自动化侦察、生成有说服力的钓鱼活动,并比防御者更快地发现零日漏洞。当你的对手使用AI时,纯粹的预防姿态就像在无人机战斗中拿着盾牌。

## 弹性在实践中是什么样子

以弹性为先的网络安全并不意味着放弃预防。防火墙、终端保护和访问控制仍然重要。但现在它们被理解为纵深防御战略中的一层,该战略优先考虑吸收、适应和从攻击中恢复的能力。

以弹性为先的方法的核心组件包括前瞻性组织正在采用的几种关键实践。

**事件响应规划**已从合规性检查清单转变为核心运营能力。组织现在每月而非每年进行桌面演练,模拟真实的攻击场景,不仅测试技术响应,还测试与执法机构和保险公司等外部合作伙伴的沟通、决策和协调能力。

**不可变备份**已成为不可协商的要求。针对备份的勒索软件的兴起迫使组织实施气隙式、不可变的备份系统,这些系统不能被已攻破主环境的攻击者加密或删除。云提供商现在专门为此目的提供不可变存储层,而未采用这些组织的组织正在承担生存风险。

**安全领域的混沌工程**——有时被称为”对抗性弹性测试”——借鉴了Netflix和Google开创的可靠性工程经验。团队故意向其系统注入安全故障,以检测和响应能力。你的SOC能否实时检测到模拟的数据泄露?你的事件响应团队能否在横向移动发生前隔离被攻破的系统?如果你没有在真实条件下测试这些能力,你实际上并不知道它们是否有效。

## 零信任作为弹性推动者

零信任架构已经讨论多年,现在终于开始大规模实施——不是作为一种预防机制,而是作为弹性推动者。零信任的核心原则——永不信任,始终验证——限制了任何单个妥协的爆炸半径。

当每个访问请求都独立进行身份验证和授权时,被攻陷的凭据或终端无法轻易被用来在环境中横向移动。这并不能防止初始入侵,但它显著减少了攻击者进入后可以造成的损害。

微隔离作为零信任的关键组成部分,将网络划分为小型、隔离的区域,这些区域可以独立控制和监控。如果攻击者攻破了一个区域,在到达另一个区域之前,他们面临的是新的身份验证和授权挑战。这为防御者争取了时间——这是事件响应中最宝贵的商品。

## 弹性如何改变安全预算

向弹性的转变正在重塑组织分配安全支出的方式。预防技术——防火墙、防病毒、邮件网关——曾经消耗了安全预算的大部分。现在,支出越来越多地流向检测和响应能力。

安全信息和事件管理(SIEM)系统、安全编排自动化与响应(SOAR)平台和扩展检测与响应(XDR)解决方案正经历最快的预算增长。组织也在安全运营中心(SOC)的人员配备和培训上进行大量投资,认识到没有能够解释警报和协调响应的熟练分析师,技术本身是不够的。

网络安全保险是另一个投资增长领域。随着组织接受入侵事件不可避免,保险成为关键的财务弹性机制。然而,保险公司正变得更加挑剔,要求在签发保单前提供弹性能力的证据——事件响应计划、经过测试的备份、零信任实施情况。

## 对安全团队的影响

弹性范式改变了安全团队的日常工作。以预防为重点的团队花费大部分时间配置和维护防御技术。以弹性为重点的团队则花更多时间进行威胁狩猎、事件模拟和恢复测试。

所需的技能也有所不同。弹性需要强大的分析思维、沟通能力和在压力下操作的能力。最佳事件响应者与传统IT管理员相比,更像是急诊室医生——他们必须在信息不完整的情况下快速做出决策,同时协调多个团队。

安全领导力也在演变。首席信息安全官(CISO)越来越多地直接向首席执行官和董事会报告,而非通过IT领导层,这反映了网络弹性的战略重要性。对话已从”我们如何防止入侵”转变为”当入侵发生时——而不是是否发生——我们能多快恢复”。

## 前进的道路

从预防到弹性的转变不是一次性项目。它是一个持续发展的过程,需要持续的投资、测试和适应。组织应该首先诚实地评估其当前的弹性状况——不仅是预防能力,还包括检测、响应和从严重事件中恢复的能力。

从那里, priorities 很明确:构建和测试事件响应计划,实施不可变备份,采用零信任原则,并投资于检测和响应能力。最重要的是,接受单独的预防永远不会足够。在2026年的威胁环境中,弹性不是奢侈品——而是生存必需品。

By Michael Sun

Founder and Editor-in-Chief of NovVista. Software engineer with hands-on experience in cloud infrastructure, full-stack development, and DevOps. Writes about AI tools, developer workflows, server architecture, and the practical side of technology. Based in China.

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

You missed