美國國家安全局NSA發布十大網絡安全緩解戰略
美國國家安全局的十大緩解戰略反擊了APT攻擊者可能使用的各種技術手段。美國國家安全局的緩解措施為企業組織確定了優先事項,以盡量減少業務影響。緩解措施建立在NIST網絡安全框架職能的基礎上,以管理網絡安全風險并促進縱深防御。緩解策略按照已知APT策略的有效性進行排名。需要采取其他戰略和最佳做法來減輕新戰術的發生。
網絡安全防護關鍵詞:識別(Identify)、保護(Protect)、檢測(Detect)、響應(Respond)、恢復(Recover)。
1. 立即更新和升級軟件
關鍵詞:識別(Identify),保護(Protect)
應用所有可用的軟件更新,盡可能使流程自動化,并使用從供應商直接提供的更新服務。自動化是必要的,因為攻擊者研究補丁、漏洞利用方法通常在補丁發布后不久。這些“N天”的漏洞利用可能會像零日漏洞一樣具有破壞性。供應商更新也必須是真實的;更新應確保內容的完整性。如果沒有快速和徹底為應用程序打補丁,攻擊者可以在防御者的補丁周期內實施入侵。
2. 保護特權和帳戶安全
關鍵詞:識別(Identify),保護(Protect)
根據風險暴露面分配特權,并按照要求進行維護操作。使用特權訪問管理(PAM)解決方案來自動化憑證管理和細粒度訪問控制。另一種管理特權的方法是通過分層管理訪問,其中每個高級層提供額外的訪問權限,但僅限于更少的人員。創建程序以安全地重置憑證(例如,密碼、令牌、標簽)。必須對特權帳戶和服務進行控制,防止攻擊者以管理員身份訪問高價值資產,并通過網絡進行橫向移動。
3. 強制軟件執行策略
關鍵詞:保護(Protect),檢測(Detect)
使用新版本的操作系統,并為腳本、可執行文件、設備驅動程序和系統固件強制簽署軟件執行策略。維護一個可信證書列表,以防止和檢測非法可執行文件的使用和注入。執行策略與安全啟動功能結合使用時,可以確保系統完整性。應用程序白名單應與簽名的軟件執行策略一起使用,以提供更好的控制。 允許未簽名的軟件將使攻擊者通過嵌入式惡意代碼獲得立足點并建立持久性。
4. 執行系統恢復計劃
關鍵詞:識別(Identify),響應(Respond),恢復(Recover)
創建,審查和實施系統恢復計劃,以確保將數據恢復為全面災難恢復策略的一部分。該計劃必須保護關鍵數據、配置和日志以確保由于意外事件而導致的操作連續性。為了獲得額外的保護,應盡可能加密備份,異地存儲,脫機,并支持系統和設備的完整恢復和重構。執行定期測試并評估備份計劃。根據需要更新計劃以適應不斷變化的網絡環境。恢復計劃是自然災害以及包括勒索軟件在內的惡意威脅的必要緩解措施。
5. 積極的系統和配置管理
關鍵詞:識別(Identify),保護(Protect)
盤點網絡設備和軟件資產。從網絡中刪除不需要的,不必要的或不應該存在的硬件和軟件。從已知基線開始減少攻擊面并建立操作環境的控制。此后,積極管理設備、應用程序、操作系統和安全配置。積極的企業管理確保系統能夠適應動態威脅環境,同時擴展和精簡管理操作。
6. 持續獵取網絡入侵
關鍵詞:檢測(Detect),響應(Respond),恢復(Recover)
采取主動措施檢測,遏制并移除網絡中的任何惡意存在。企業組織應該假設被入侵,并且使用專門的團隊不斷尋找、遏制并移除網絡中的威脅。諸如日志,安全信息和事件管理(SIEM)產品,端點檢測和響應(EDR)解決方案以及其他數據分析功能的被動檢測機制是發現惡意或異常行為的寶貴工具。積極的動作還應該包括追蹤和滲透測試,使用詳細記錄的事件響應程序來處理任何發現的安全漏洞。建立積極主動的步驟將使組織過渡到基本檢測方法之外,使用持續監控和緩解策略實現實時威脅檢測和修復。
7. 利用現代硬件安全特性
關鍵詞:識別(Identify),保護(Protect)
使用硬件安全功能,如統一可擴展固件接口(UEFI)安全啟動,可信平臺模塊(TPM),和硬件虛擬化。對硬件進行固件升級。現代硬件特性增加了啟動過程的完整性,為高風險應用程序提供了系統認證和支持功能。使用過時的硬件上的現代操作系統會降低保護系統、關鍵數據和對攻擊者的認證能力。
8. 使用基于應用感知防御技術隔離網絡
關鍵詞:保護(Protect),檢測(Detect)
隔離關鍵網絡和服務。根據政策和法律授權,部署基于應用感知的網絡防御措施可以阻止不當形成的流量并限制內容。基于已知-不良簽名的傳統入侵檢測由于加密和混淆技術而迅速降低了效率。威脅行為者隱藏惡意行為并通過通用協議刪除數據,因此需要復雜的應用感知防御機制,這對現代網絡防御至關重要。
9. 整合威脅信譽服務
關鍵詞:保護(Protect),檢測(Detect)
利用多來源的威脅信譽服務來處理文件、DNS、url、IPs和電子郵件地址。信譽服務協助檢測和防止惡意事件,并允許對威脅進行快速的全球響應,減少已知威脅的暴露,并提供更大的威脅分析和引爆能力,而不是組織可以自行提供。新出現的威脅,無論是針對目標的還是全球性的, 都比大多數組織所能處理的要快,從而導致對新增威脅的報道不足。多源信譽和信息共享服務可以為針對動態威脅行為者提供更及時有效的安全姿態。
10. 轉換到多因素認證
關鍵詞:識別(Identify),保護(Protect)
優先保護具有提升特權、遠程訪問、用于高價值資產的帳戶。應使用基于物理令牌的認證系統來補充基于知識的驗證,如密碼和PIN。組織應從單因素身份驗證(如基于密碼的系統)遷移出去,這些系統的用戶選擇較差,易受到多個系統中的憑證失竊,偽造和重復使用的影響。
