防止網絡攻擊的十個優(yōu)秀實踐
網絡攻擊的頻率和復雜性都在不斷增加,究其原因包括專業(yè)型惡意行為者日漸增多、勞動力和保護技術愈發(fā)分散,以及可能在不知不覺中充當攻擊“入口”的設備和用戶也在日益增加。
盡管我們無法從根本上避免企業(yè)遭受網絡攻擊,但通過建立多種物理和技術保護措施可以更好地保護網絡數(shù)據(jù)。
本文將幫助安全團隊了解如何掌握最新的工具和知識,以應對下一次關鍵的網絡安全威脅。概括來說,針對安全威脅的關鍵保護措施包括:
- 結合零信任和SSL檢查
- 檢查常用應用程序的關鍵組件
- 投資特定于電子郵件的安全工具
- 制定移動設備管理計劃
- 踐行“無密碼”策略并使用UEBA
- 更新您的事件響應計劃
- 定期監(jiān)控和審核您的網絡
- 制定強有力的數(shù)據(jù)治理原則
- 就常見威脅媒介對您的團隊進行教育培訓
- 自動化安全管理流程
1. 結合零信任和SSL檢查
零信任——以“從不信任,始終驗證”的新安全架構為基礎的工具和實踐——正迅速成為網絡安全工作中最有效最重要的部分。如今,零信任甚至已經達到美國聯(lián)邦政策的水平。2021年5月,美國總統(tǒng)喬·拜登簽署了一項加強美國網絡安全的行政命令,承認聯(lián)邦政府現(xiàn)行網絡安全模式的固有弊端,明確指出部署零信任架構的迫切性。
不過,目前許多企業(yè)領導者仍對零信任的含義及實踐存在誤解。身份和訪問管理(IAM)公司SecurID的首席產品官Jim Taylor對此給出了詳細解釋,“營銷人員經常在產品宣傳中拋出零信任的概念,在此需要警告大家注意:零信任并非產品、功能或服務。相反地,它是一個努力實現(xiàn)的目標,是一種思維方式。風險不是我們?yōu)榱俗非蟊憷M行的權衡:這只是一種糟糕的做法。在零信任安全模型中,我們使用基于風險的方法來映射給定事件的頻率、可能性和影響,并優(yōu)先考慮威脅因素。”
網絡安全公司A10的技術營銷工程師Babur Khan認為,零信任是網絡安全的重要組成部分,它與SSL檢查(SSL inspection)結合使用效果最佳。
Khan解釋稱,“SSL檢查是攔截客戶端和服務器之間的SSL加密Internet通信的過程。它能夠提供深入的流量檢查以及惡意請求的檢測和改進,監(jiān)控進出網絡的數(shù)據(jù)進行分析,以及防止DDoS攻擊。拜登總統(tǒng)的行政命令是聯(lián)邦政府有史以來提出的影響最深遠的網絡安全基礎設施和網絡攻擊預防戰(zhàn)略,其對零信任架構的推廣是實現(xiàn)其所有目標唯一實用和有效的基礎。結合SSL檢查可以進一步完善該架構,并確保我們的網絡安全和網絡攻擊預防基礎不同于傳統(tǒng)架構,是真正面向未來的。”
2. 檢查常用應用程序的關鍵組件
您的組織最常用的應用程序很可能包含殘留的用戶、權限和過時的安全方法,這些情況都會導致這些工具更易受到攻擊。檢查所有這些應用程序的配置方式,并監(jiān)控哪些人具有訪問權限以及他們何時及如何使用該訪問權限至關重要。
網絡安全公司Tenable的首席技術和安全策略師Derek Melber為保護流行的Microsoft Active Directory提供了建議,“保持Active Directory安全性的第一步就是確保AD的所有攻擊面都得到適當?shù)谋Wo,這包括用戶、屬性、組、組成員、權限、信任、與組策略相關的設置、用戶權限等等。一個很好的例子是要求對服務帳戶進行強身份驗證并主動管理他們所在的組。這部分意味著強制要求對所有用戶進行多因素身份驗證。在所有端點強制執(zhí)行最小權限原則,以防止橫向移動、阻止默認管理以及拒絕來自內置本地管理員帳戶的訪問。”
3. 投資特定于電子郵件的安全工具
大量成功的網絡攻擊都是通過授權用戶的不知情行為進入企業(yè)網絡的,主要攻擊媒介多為網絡釣魚電子郵件。企業(yè)無法確保能夠捕獲每個網絡釣魚實例,但他們可以為電子郵件和其他應用程序添加額外的安全措施,避免內部員工變成外部參與者的攻擊“入口”。
Juniper Networks高級總監(jiān)Mike Spanbauer認為,在基于通信安全方面做出的努力對于保護企業(yè)用戶及企業(yè)網絡行為至關重要。他表示,“擁有可以檢查鏈路和任何有效載荷的良好工具至關重要。高質量的下一代防火墻、安全電子郵件解決方案或端點技術也可以成為緩解這種威脅的有效工具。”
4. 創(chuàng)建移動設備和數(shù)據(jù)管理計劃
大多數(shù)企業(yè)員工不僅使用公司設備進行辦公,還會使用個人移動設備查看電子郵件、打開協(xié)作文檔以及執(zhí)行其他可能暴露公司敏感數(shù)據(jù)的操作。
Juniper Networks的Spanbauer表示,確保個人移動設備不會將網絡暴露于不必要的威脅的最佳方法是制定并執(zhí)行移動設備和數(shù)據(jù)管理計劃。
Spanbauer解釋稱,“移動技術在處理和收集數(shù)據(jù)方面的能力正在不斷增強,但許多公司仍然采用自帶設備(BYOD)策略。不過,只要這些設備能夠在可訪問的資源和網絡方面受到嚴格限制和監(jiān)控,這也沒什么關系。久經考驗的主流數(shù)據(jù)管理解決方案始終是一個不錯的選擇。此外,對訪客網絡進行有效檢查還有助于防止威脅在設備之間傳播,并保護企業(yè)免受潛在威脅影響。”
5. 踐行“無密碼”策略并使用 UEBA
員工經常記不住他們的用戶訪問憑證,為了讓事情變得更容易,他們選擇使用簡單的密碼并將他們的信息存儲在不安全的地方。不良的密碼習慣使企業(yè)網絡面臨巨大風險,使惡意行為者有可能從任意數(shù)量的用戶那里竊取憑據(jù)。
由于大量成功的網絡攻擊案例都是基于憑據(jù)盜竊,因此SecurID的Taylor等安全專家鼓勵公司踐行“無密碼”以及用戶和實體行為分析(UEBA)策略以確保用戶帳戶安全。
Taylor表示,“解決(遠程工作者安全漏洞)的一種方法是采用現(xiàn)代安全原則,包括無密碼、基于設備、基于風險和UEBA。這些現(xiàn)代安全原則和技術提高了安全性并改善了用戶體驗。通過簡單地將手機放在口袋里,并以與以往相同的方式執(zhí)行任務,您可以為用戶創(chuàng)建一種網絡安全立場,這比要求他們記住復雜的密碼容易得多——而且也更安全。”
6. 更新您的事件響應計劃
無論您部署了多少安全基礎設施,每個網絡中仍然可能存在一些最終會淪為黑客攻擊目標的漏洞。大多數(shù)企業(yè)都犯了一個錯誤,即只是被動地響應這些事件,在安全問題出現(xiàn)時進行處理,而沒有做任何額外的工作、培訓或策略開發(fā),為未來的攻擊做好準備。
網絡安全公司Open Systems的首席信息安全官Ric Longenecker認為,企業(yè)首先需要更新他們的事件響應計劃并將其付諸實踐。他表示,“在違規(guī)處理期間必須分秒必爭,絕不能浪費寶貴的響應時間,企業(yè)應該以協(xié)調和有影響力的方式應對攻擊事件。您的SecOps團隊、IT員工和安全合作伙伴需要在發(fā)生違規(guī)時了解他們的角色、職責和任務,而且最好提前對他們進行“實戰(zhàn)演練”,以了解響應計劃的流程和現(xiàn)實效果。無論是面對勒索軟件還是其他類型的攻擊,快速響應可以決定一次安全事件只是‘麻煩’還是‘災難’。如果您現(xiàn)在還沒有制定事件響應計劃,話不多說,快去制定一個!”
7. 定期監(jiān)控和審計您的網絡
與創(chuàng)建事件響應計劃一樣,定期監(jiān)控和審計您的網絡也很重要,這可以確保在小問題變成大問題之前發(fā)現(xiàn)并阻止它們。
Open Systems公司的Longenecker解釋了讓您的員工習慣監(jiān)控和審計工作流程的重要性,“防火墻、防病毒軟件、代理、多因素身份驗證等預防性安全技術是必要的,但還不夠。威脅參與者的格局已經從簡單地開發(fā)惡意軟件,發(fā)展到現(xiàn)在武器化惡意軟件并使用可信的交付方法來掩蓋其惡意活動。了解您的防護層是否正常工作的唯一方法,就是讓安全專家使用最佳實踐和可重復的流程來持續(xù)監(jiān)控所有潛在的攻擊面,以檢測和響應威脅。許多組織對預防層采取‘一勞永逸’的方法,因此,持續(xù)監(jiān)控已成為通過提供重要的反饋循環(huán)來最小化風險的基本要素。要知道,安全是一段旅程,而不是一個目的地。”
8. 制定強有力的數(shù)據(jù)治理原則
數(shù)據(jù)安全是更大網絡安全原則的一個關鍵點,數(shù)據(jù)治理可確保正確的數(shù)據(jù)獲得所需的保護。
IT和數(shù)據(jù)中心管理解決方案公司Flexential的網絡安全副總裁Will Bass認為,強大的數(shù)據(jù)治理涉及在源頭審查數(shù)據(jù)并持續(xù)保護人們避免不必要的數(shù)據(jù)訪問。
Bass表示,“企業(yè)將太多數(shù)據(jù)存儲了太久。要知道,敏感數(shù)據(jù)一直是惡意行為者的目標,這無疑增加了企業(yè)面臨的風險。減少這種威脅需要良好的數(shù)據(jù)治理實踐,例如刪除任何不用于提供服務或不滿足監(jiān)管要求的數(shù)據(jù)。刪除環(huán)境中不需要的敏感數(shù)據(jù)不僅可以降低被入侵的風險,還可以通過減少基礎設施占用空間以及縮小隱私和其他監(jiān)管要求的范圍來降低IT成本。”
特別是在大數(shù)據(jù)時代,區(qū)分不需要的數(shù)據(jù)和需要保護的數(shù)據(jù)可能具有挑戰(zhàn)性。但是,大型數(shù)據(jù)管理和云公司NetApp的CISO Seth Cutler認為,一些數(shù)據(jù)管理最佳實踐會是一個很好的起點。他解釋稱,“看看公司必須管理、存儲、檢索、保護和備份的海量數(shù)據(jù)。隨著這些數(shù)據(jù)不斷增長,數(shù)據(jù)過載對網絡安全的影響也在不斷增加。因此,為數(shù)據(jù)生命周期管理、數(shù)據(jù)隱私合規(guī)、數(shù)據(jù)治理和數(shù)據(jù)保護制定策略至關重要。為了幫助糾正數(shù)據(jù)過載,公司應考慮數(shù)據(jù)分類、數(shù)據(jù)標記以及制定明確的數(shù)據(jù)保留指導和政策。”
9. 就常見威脅媒介對您的團隊進行教育培訓
企業(yè)傾向于將大部分時間和資金投入到正確的網絡安全基礎設施和工具上,卻往往忽略了培訓所有團隊成員如何保護自身和企業(yè)免受安全威脅的重要性。
Flexential公司的Bass表示,企業(yè)組織有責任就常見的社交工程攻擊和網絡釣魚實踐對所有用戶/員工進行培訓。Bass解釋稱,“人為因素已經成為威脅企業(yè)安全的最大威脅之一。隨著邊界防御越來越完備,惡意行為者正在通過企業(yè)內部人員越過邊界,使用網絡釣魚和魚叉式網絡釣魚等技術在企業(yè)內部站穩(wěn)腳跟。為了應對這種威脅,企業(yè)應該教育他們的員工識別社交工程的跡象,以及一旦他們懷疑有人試圖誘騙他們應該采取什么行動。企業(yè)還應該使用這些方法進行定期演習,以檢測其員工的學習成果。”
10. 自動化安全管理流程
盡管自動化并非所有網絡安全問題的答案,但人工智能和機器學習驅動的工具可以更輕松地在云中設置安全監(jiān)控和其他質量控制措施。
云原生數(shù)字取證公司Cado Security的首席執(zhí)行官兼聯(lián)合創(chuàng)始人James Campbell認為,云安全自動化是保護分布式網絡最省時、最具成本效益的方法之一。
Campbel表示,“將自動化納入云調查過程能夠有效地減少了解事件根本原因、范圍和影響所需的時間、資源和金錢。由于當今云中的數(shù)據(jù)量很大,組織需要適應云速度和規(guī)模并具備自動捕獲和處理數(shù)據(jù)的能力。安全團隊不必擔心需要跨多個云團隊和訪問要求工作,或是他們的調查需要跨多個云平臺、系統(tǒng)和區(qū)域的現(xiàn)實。雖然以前所有這些復雜性會拖延調查步伐或完全阻止調查的發(fā)生,但自動化通過減少進行調查所需的復雜性和時間成功逆轉了局面。”
