# 未知風險 如果您一直專注於客製化警示、透過自動化改進事件回應程序以及改善安全防禦,那麼您可能想知道下一步要改進什麼。您可能對未知風險感到好奇,如*圖 3* 的未知類別所示。您可以透過以下方法降低未知風險: + **定義安全性聲明** – 您可以聲明哪些真理? 您的環境中絕對真實的安全基本值是什麼? 清楚地定義這些可讓您逆向搜尋。比起稍後才對安全性聲明進行逆向工程,這在雲端之旅的初期更容易完成。 + **教育、溝通和研究** – 為員工成立雲端安全專家,或者納入專家合作夥伴,以協助審查您的環境。挑戰您的假設,提防機巧的推理。在流程中建立回饋迴圈,為工程團隊提供與安全團隊溝通的機制。您還可以擴展監控相關安全郵件清單和資訊安全披露的方法。 + **減少攻擊面** – 提高防禦能力,以避免風險,並給自己更多的時間抵禦未知攻擊。阻止並減慢攻擊者的速度,並強迫他們暴露蹤跡。 + **威脅情報** – 訂閲來自世界各地的最新和相關威脅、風險及指標的持續摘要。 + **警示** – 產生通知,提醒您注意異常、惡意或昂貴的活動。例如,您可以針對在不使用的區域或服務中發生的活動建立通知。 + **機器學習** – 使用機器學習來識別特定組織或個人角色的複雜異常狀況。為了協助識別異常行為,您還可以分析網路、使用者和系統的正常特徵。 在考慮盲點和未知項目時,威脅情報是主要主題。周哈里窗顯示的是如何對您知道和不知道的內容進行分類,而威脅情報則顯示如何解釋您還不知道的內容。威脅情報是一門學科,可協助公司了解威脅模型的各個角落,找出貴公司可能尚未知道的威脅。 通常,威脅情報包括: 1. 找到新的威脅。 1. 定義新模式。 1. 定義新的自動化取得技術。 1. 重複以上過程。 雖然這個做法會有幫助,但維護威脅情報團隊對許多企業 (甚至大型企業) 可能是個負擔。最後,問題就變成須符合您的威脅模型、規模和風險逆境。請考慮下列問題: + 您的威脅模型是否與企業所處的標準垂直領域有很大不同? + 您的風險承受能力是否過低,因此需要這樣的團隊? + 為企業經營一個團隊,在財務上是否合理? + 您的風險概況是否足以吸引合理的人才參與您的事業? 如果任何一個問題的回答為*否*,則您應尋求威脅情報合作夥伴。許多大型知名公司都提供具有競爭力的服務。 AWS 提供讓您自行管理這些問題的工具和服務。使用機器學習辨別惡意模式是經過充分研究的領域,其模式由客戶、AWS 專業服務、APN 合作夥伴以及透過 Amazon GuardDuty 和 Amazon Macie 等 AWS 服務來實施。其中一些模式已在 AWS re:Invent 會議議程上討論過。如需詳細資訊,請參閲本白皮書的[媒體](additional-resources.md#media)一節。 客戶也在擴展其傳統上以業務為中心的資料湖,以便在開發安全資料湖時,能利用類似的架構模式。安全營運團隊也將傳統日誌記錄和監控工具 (如 Amazon OpenSearch Service 和 OpenSearch Dashboards) 的使用擴展到大數據架構中。 這些客戶正在從 AWS CloudTrail 事件日誌、VPC 流程日誌、Amazon CloudFront 存取日誌、資料庫日誌和應用程式日誌中收集內部資料,然後將這些資料與公有資料和威脅情報相結合。藉助這些寶貴的資料,客戶已經擴展到在其安全營運團隊中包含資料科學和資料工程技能,以利用諸如 Amazon EMR、Amazon Kinesis Data Analytics、Amazon Redshift、Amazon QuickSight、AWS Glue、Amazon SageMaker 和 AWS 上的 Apache MxNet 等工具來建構自訂解決方案,用於識別和預測其業務獨特的異常情況。 最後,請參閲來自 APN 合作夥伴之數百種業界領先產品的[安全合作夥伴解決方案](https://aws.amazon.com/security/partner-solutions/),這些產品與您內部部署環境中的現有控制在功能上相當、相同或可以相互整合。這些產品可補充現有的 AWS 服務,讓您能夠在雲端和內部部署中部署全方位的安全架構,以及擁有更流暢的體驗。