原文来源于e27网站：e27 是亚洲最大的科技媒体平台，涵盖该地区新兴和颠覆性企业的最新消息。e27也是36氪平台的紧密合作伙伴，为其提供有价值的新闻以及评论观点。

随着俄乌冲突的展开，围绕网络空间上的各种攻击行为层出不穷。同时，疫情时代下“混合办公”模式对随处适用的网络安全措施需求加大，需要各国真正重视网络空间治理，构建良好的网络安全管理体系。

专栏邀约

在此情形背景之下，e27向新加坡南洋理工大学（NTU）教授、NTU网络安全实验室主任、Scantist联合创始人刘杨博士约稿，基于刘杨教授在网络安全、软件工程、人工智能领域所领导的科研工作与创新项目，就“如何管理网络安全，建立有弹性的网络安全团队”等相关话题为企业分享思考、实践成果及建议。

网络安全是极为重要和特殊的领域，本次借由刘杨教授的视角展开这篇文章，从知悉、预防和工具层面提出应对办法和解决方案。

如何使用先进的自动化工具构建安全、合规和可信的开源软件管理？
我们需要建立共识和彼此协作。

在共建行业标准和持续的研究探索中，Scantist联合NTU网络安全实验室研发了一系列软件安全工具链，以主动方式帮助企业管理应用安全和合规性风险，确保安全目标的实现。

同时，得益于多年深耕开源安全和合规治理领域的独特优势，Scantist提供了一个面向开源软件多维度画像的OSSPERT平台，从质量、安全、开源成分、可维护性、团队及活跃度、商业风险等多个维度和特征，以及用于分析这些特征的多种扫描引擎，衡量开源软件本身的健康程度，并从开发者贡献、团队构成、开发风险等不同角度解读开源项目核心开发团队的健康状态。通过动态收集各项指标并将开源项目运行状况可视化进行全面分析，助力开源项目和社区健康可持续发展，与行业共建开源生态和治理体系。

以下为刘杨教授的文章译文

如何向网络安全迈进？

如果您了解世界上最大的数据泄露和黑客攻击事件，就会发现网络安全已经成为全球关注的焦点，每个人都身处于风险之中。

随着“混合办公”成为全球性趋势，新加坡的网络攻击数量迅速激增了145%，仅在制造业中，去年平均每周就有1,123家组织面临攻击。

根据 Proofpoint的年度CISO之声报告，混合办公政策和云工具让组织变得更加敏捷和有弹性。但这也使它们更容易受到网络威胁的影响。举个例子，据报道，自从实现了广泛的远程工作以来，多达44%的新加坡 CISO将在2022年面临更具针对性的攻击。

勒索软件、供应链攻击、个人信息泄露和加密货币交易所攻击被广泛认为是该地区最常见的攻击。因此，报告毫无意外地揭示了该地区的风险感知率高达64%，远高于报告的全球平均水平为48%。但我们是如何走到这一步的？

为何网络攻击数量在增加？

攻击数量的增加源于两个方面。一方面，网络安全的复杂性比以往任何时候都要高。随着我们迈向一个更加数字化的进程，越来越多的系统和流程通过软件解决方案实现数字化。因此，更多的软件意味着更多的漏洞，这也意味着攻击数量增加的可能性。

新的软件开发和交付模式导致了进一步攻击的增加，例如，软件供应链攻击去年增长了300%。这些攻击通常针对开源软件和第三方软件，技术团队经常将这些软件用作构建他们自己系统的基础。

加密货币的出现让网络攻击变得更加有利可图。我们越来越多地看到要求和支付的“赎金”无法追踪。收到加密货币赎金的网络犯罪分子正在增加他们的资金和资源，以对关键基础设施发动更大规模的攻击。

另一方面是一个不争的事实，尽管网络安全意识在增强，但它仍难以跟上形势发展的步伐。例如，当面临网络钓鱼攻击时，大多数人现在知道在回复邮件或信息之前应该检查发件人。但最近华侨银行的网络钓鱼骗局表明，攻击者通过冒用银行的身份从而领先了一步。

尽管大多数组织都了解网络风险，但构建强大的网络安全并不是免费或廉价的。董事会很难看到签署另一个项目的价值。

但有消息称，就连新加坡政府也将其网络安全拨款从其 IT预算的2.4%增加到8%，这表明情况正在开始改变。然而，不乐观的是网络安全专业知识供给与市场需求之间也存在着较大差距，使得安全目标难以实现。

预防胜于治疗

根据 CyberArk 最近的一份威胁态势报告，去年新加坡约有 80% 的组织遭受了勒索软件攻击。为了防止这些挑战，企业需要解决本文讨论的问题，而且不必花费不小的代价。为了防止这些挑战，企业需要解决本文中讨论的问题，而这并非不需要支付一定费用。

例如，提高意识和促进网络安全培训和教育是提升安全性最简单但最有效的方法之一。

在本地和全球层面建立有弹性的网络安全团队，提供关于网络安全知识、技能等方面的指导。除此之外，采用自动化工具可以帮助团队跟上软件开发的快速步伐。填补有限的安全专家的缺口，也变得势在必行。那么更大的问题来了，什么是最好的工具？

选择本地最好的工具

尽管培训、提高安全意识和其他举措会逐渐产生效果，但企业组织应该通过利用建立在可靠的科学研究基础上的、容易获得的、最先进的工具来负责安全管理。

例如， Scantist的软件成分分析工具（SCA）探方就是多个机构和企业信任的选择之一。这些工具提供了比软件团队使用的开源和第三方组件等构建块更大的可见性。

在使用的过程中，它使软件团队能够密切监控和降低软件供应链安全风险。因此，这种方法可以在降低数据泄露风险发挥关键作用，其幅度可达25%。

无论规模大小企业都可以将该解决方案无缝地集成到现有的软件开发和交付工作流中，并根据内部风险评估和外部合规需求接收定制的安全报告。

其中一些解决方案通常包括一个免费版本，允许企业在担心为可能不需要的功能买单及确保预算可控之前，探索其所提供的功能。

迈向网络安全的旅程

尽管增加网络安全措施的投资是必要的，但这不是您可以砸钱并在合规框上打勾的问题。相反，我们成为全民网络安全的旅程从更小的步骤开始，例如建立简单的流程和使用容易获得的安全工具。

提高意识和加深网络安全培训和教育仍然至关重要。当与正确的工具相结合时，它可以帮助企业最大限度地减少黑客事件，而不会使技术团队负担过重或花费大量资金。

这些建议只是在快速发展和日益复杂的网络安全环境中所需要的最低限度的一些提示。

对各种规模的企业来说，网络事件和随之而来的声誉和股东价值损失是不可避免的。无法回避的事实是，网络安全已经成为每个人的重要责任，“如果您不能解决问题,您就成为了问题的一部分。”

那么，在建设网络安全的进程中，您将扮演什么样的角色？