企業(yè)攻擊面管理的7個(gè)優(yōu)秀實(shí)踐
遵循攻擊面管理的一些優(yōu)秀實(shí)踐可以最大限度地減少漏洞,并減少威脅行為者危害企業(yè)網(wǎng)絡(luò)和設(shè)備的機(jī)會(huì)。
更多的云計(jì)算解決方案、遠(yuǎn)程工作系統(tǒng)以及連接互聯(lián)網(wǎng)的設(shè)備會(huì)增加網(wǎng)絡(luò)攻擊面擴(kuò)大的風(fēng)險(xiǎn)。減少漏洞數(shù)量的最佳方法是建立適當(dāng)?shù)钠髽I(yè)攻擊面管理程序。
正確的網(wǎng)絡(luò)攻擊面管理需要分析操作以發(fā)現(xiàn)潛在漏洞并了解情況。這些信息應(yīng)該有助于制定計(jì)劃,但成功取決于在企業(yè)的網(wǎng)絡(luò)、系統(tǒng)、渠道和接觸點(diǎn)中執(zhí)行該計(jì)劃。
以下是構(gòu)建企業(yè)攻擊面管理程序時(shí)需要考慮的一些有優(yōu)秀實(shí)踐:
1. 映射攻擊面
要進(jìn)行適當(dāng)?shù)姆烙髽I(yè)必須了解數(shù)字資產(chǎn)暴露的內(nèi)容、網(wǎng)絡(luò)攻擊者最有可能以網(wǎng)絡(luò)為目標(biāo)的位置,以及需要采取哪些保護(hù)措施。因此,提高網(wǎng)絡(luò)攻擊面的可見性并采用應(yīng)對(duì)攻擊漏洞的有力措施至關(guān)重要。要查找的漏洞類型包括較舊且安全性較低的計(jì)算機(jī)或服務(wù)器、未打補(bǔ)丁的系統(tǒng)、過(guò)時(shí)的應(yīng)用程序和暴露的物聯(lián)網(wǎng)設(shè)備。
預(yù)測(cè)建模有助于創(chuàng)建對(duì)可能發(fā)生的事件及其風(fēng)險(xiǎn)的真實(shí)描述,進(jìn)一步加強(qiáng)防御和主動(dòng)措施。一旦了解了風(fēng)險(xiǎn),就可以對(duì)攻擊事件或數(shù)據(jù)違規(guī)之前、期間和之后會(huì)發(fā)生的情況進(jìn)行建模。可以預(yù)期會(huì)有什么樣的經(jīng)濟(jì)損失?企業(yè)的聲譽(yù)會(huì)受到什么損害?企業(yè)會(huì)丟失商業(yè)情報(bào)、商業(yè)機(jī)密或更多數(shù)據(jù)嗎?
SANS公司新興安全趨勢(shì)主管John Pescatore說(shuō),“成功的映射攻擊面策略非常簡(jiǎn)單:了解需要保護(hù)的內(nèi)容(準(zhǔn)確的資產(chǎn)清單);監(jiān)控這些資產(chǎn)中的漏洞;并使用威脅情報(bào)來(lái)了解攻擊者如何利用這些漏洞攻擊這些資產(chǎn)……這三個(gè)階段中的每一個(gè)階段都需要擁有安全技術(shù)的熟練員工,以跟上所有三個(gè)領(lǐng)域的變化速度。”
2. 最小化漏洞
一旦企業(yè)映射了攻擊面,他們就可以采取行動(dòng),以減輕最重要的漏洞和潛在攻擊向量所構(gòu)成的風(fēng)險(xiǎn),然后再繼續(xù)執(zhí)行較低優(yōu)先級(jí)的任務(wù)。盡可能使資產(chǎn)離線運(yùn)行和加強(qiáng)內(nèi)部和外向網(wǎng)絡(luò)是兩個(gè)關(guān)鍵領(lǐng)域。
大多數(shù)網(wǎng)絡(luò)平臺(tái)供應(yīng)商現(xiàn)在都提供一些工具來(lái)幫助最小化其攻擊面。例如,微軟公司的攻擊面減少(ASR)規(guī)則允許用戶阻止攻擊者常用的進(jìn)程和可執(zhí)行文件。
大多數(shù)違規(guī)是由人為錯(cuò)誤造成的。因此,建立安全意識(shí)和培訓(xùn)員工是減少漏洞的另一個(gè)關(guān)鍵方面。企業(yè)采用哪些政策可以幫助他們掌握個(gè)人和工作安全?他們知道需要什么嗎?他們應(yīng)該使用哪些安全實(shí)踐?失敗將如何影響他們和整個(gè)業(yè)務(wù)?
并非所有漏洞都需要解決,有些漏洞無(wú)論如何都會(huì)持續(xù)存在。可靠的網(wǎng)絡(luò)安全策略包括識(shí)別相關(guān)來(lái)源的方法,找出更有可能被利用的來(lái)源。這些是應(yīng)該處理和監(jiān)控的漏洞。
大多數(shù)企業(yè)允許的訪問(wèn)權(quán)限超過(guò)員工和承包商所需的訪問(wèn)權(quán)限。適當(dāng)范圍的權(quán)限可以確保即使帳戶遭到破壞也不會(huì)造成中斷或重大損害。開始對(duì)關(guān)鍵系統(tǒng)的訪問(wèn)權(quán)限進(jìn)行分析,然后將每個(gè)人和設(shè)備的訪問(wèn)權(quán)限限制在他們需要保護(hù)的資產(chǎn)上。
3. 建立強(qiáng)大的安全實(shí)踐和政策
遵循久經(jīng)考驗(yàn)的安全最佳實(shí)踐將會(huì)顯著地減少企業(yè)的攻擊面。這包括實(shí)施入侵檢測(cè)解決方案、定期進(jìn)行風(fēng)險(xiǎn)評(píng)估以及制定明確有效的政策。
以下是一些需要考慮的實(shí)踐:
- 使用強(qiáng)大的身份驗(yàn)證協(xié)議和訪問(wèn)控制進(jìn)行健康的帳戶管理。
- 建立一致的修補(bǔ)和更新策略。
- 維護(hù)和測(cè)試關(guān)鍵數(shù)據(jù)的備份。
- 對(duì)網(wǎng)絡(luò)進(jìn)行分段,以在發(fā)生漏洞時(shí)將損壞降至最低。
- 監(jiān)控和淘汰舊設(shè)備、設(shè)備和服務(wù)。
- 在可行的地方使用加密。
- 制定或限制BYOD政策和計(jì)劃。
4. 建立安全監(jiān)控和測(cè)試協(xié)議
隨著IT基礎(chǔ)設(shè)施的變化和威脅行為者的發(fā)展,強(qiáng)大的網(wǎng)絡(luò)安全計(jì)劃需要不斷調(diào)整。這需要持續(xù)監(jiān)控和定期測(cè)試,后者通常通過(guò)第三方滲透測(cè)試服務(wù)。
監(jiān)控通常通過(guò)自動(dòng)化系統(tǒng)完成,如安全信息和事件管理軟件(SIEM)。它將主機(jī)系統(tǒng)和應(yīng)用程序生成的日志數(shù)據(jù)收集到網(wǎng)絡(luò)和安全設(shè)備,例如防火墻和防病毒過(guò)濾器。然后,安全信息和事件管理軟件(SIEM)識(shí)別、分類和分析事件,并對(duì)其進(jìn)行分析。
滲透測(cè)試提供公正的第三方反饋,幫助企業(yè)更好地了解漏洞。滲透測(cè)試人員進(jìn)行旨在揭示關(guān)鍵漏洞的模擬攻擊。測(cè)試應(yīng)涉及企業(yè)網(wǎng)絡(luò)和BYOD的核心元素以及供應(yīng)商正在使用的第三方設(shè)備。移動(dòng)設(shè)備約占企業(yè)數(shù)據(jù)交互的60%。
5. 強(qiáng)化電子郵件系統(tǒng)
網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊者入侵企業(yè)網(wǎng)絡(luò)的常見方式。然而,一些企業(yè)尚未完全部署旨在限制員工收到的惡意電子郵件數(shù)量的電子郵件協(xié)議。這些協(xié)議是:
- 發(fā)件人策略框架(SPF)可以防止對(duì)合法電子郵件返回地址進(jìn)行欺騙。
- 域密鑰識(shí)別郵件(DKIM)可以防止“顯示發(fā)件人”電子郵件地址的欺騙,即收件人在預(yù)覽或打開郵件時(shí)看到的內(nèi)容。
- 基于域的郵件身份驗(yàn)證、報(bào)告和一致性(DMARC)允許設(shè)置有關(guān)如何處理由SPF或DKIM識(shí)別的失敗或欺騙電子郵件的規(guī)則。
Aetna公司前首席信息安全官Pescatore表示,“如果企業(yè)管理層支持進(jìn)行所需的更改,能夠保證業(yè)務(wù)收益超過(guò)安全成本,從而使企業(yè)轉(zhuǎn)向安全軟件開發(fā),并實(shí)施強(qiáng)大的電子郵件身份驗(yàn)證。”
并非所有建議都能落實(shí),但他實(shí)現(xiàn)了,其采取的措施減少了軟件漏洞,并縮短了所在公司的上市時(shí)間。轉(zhuǎn)向DMARC和強(qiáng)大的電子郵件身份驗(yàn)證提高了電子郵件營(yíng)銷活動(dòng)的點(diǎn)擊率。
6. 了解合規(guī)性
所有企業(yè)都應(yīng)制定政策和程序來(lái)研究、確定和理解內(nèi)部和政府標(biāo)準(zhǔn)。目標(biāo)是確保所有安全策略都符合要求,并且對(duì)各種攻擊和違規(guī)類型都有適當(dāng)?shù)捻憫?yīng)計(jì)劃。
企業(yè)還需要建立一個(gè)工作組和戰(zhàn)略,以便在新政策和法規(guī)生效時(shí)對(duì)其進(jìn)行審查。與合規(guī)性對(duì)于現(xiàn)代網(wǎng)絡(luò)安全策略一樣重要,但這并不一定意味著它應(yīng)該是優(yōu)先事項(xiàng)。Pescatore說(shuō),“合規(guī)性往往是第一位的,但幾乎100%發(fā)生信用卡信息泄露的公司都符合PCI合規(guī)性。然而它們并不安全。”
7. 聘請(qǐng)審計(jì)人員
在評(píng)估企業(yè)攻擊面時(shí),即使是最好的安全團(tuán)隊(duì)有時(shí)也需要獲得外部幫助。聘請(qǐng)安全審計(jì)人員和分析師可以幫助企業(yè)發(fā)現(xiàn)可能會(huì)被忽視的攻擊媒介和漏洞。
他們還可以協(xié)助制定事件管理計(jì)劃,以應(yīng)對(duì)潛在的違規(guī)和攻擊。很多企業(yè)沒(méi)有為網(wǎng)絡(luò)安全攻擊做好準(zhǔn)備,因?yàn)樗麄儧](méi)有制衡和衡量網(wǎng)絡(luò)攻擊的政策。
Smart Billions公司首席技術(shù)官Jason Mitchell說(shuō):“在嘗試客觀地確定安全風(fēng)險(xiǎn)時(shí),擁有一個(gè)外部的、公正的觀點(diǎn)可能非常有益。使用獨(dú)立的監(jiān)控流程來(lái)幫助識(shí)別風(fēng)險(xiǎn)行為和威脅,以免它們成為端點(diǎn)上的問(wèn)題,尤其是新的數(shù)字資產(chǎn)、新加入的供應(yīng)商和遠(yuǎn)程工作的員工。”
