很多時候,端點(diǎn)設(shè)備是攻擊的初始點(diǎn),允許攻擊橫向移動到網(wǎng)絡(luò)中,從而制造更多的破壞……
我們經(jīng)常聽說大型數(shù)據(jù)泄露事故以及大規(guī)模攻擊事件,但你是否曾退一步想想,很多攻擊的根本原因是什么?很多時候,端點(diǎn)設(shè)備是攻擊的初始點(diǎn),允許攻擊橫向移動到網(wǎng)絡(luò)中,從而制造更多的破壞。雖然擁有良好設(shè)計和受保護(hù)的網(wǎng)絡(luò)很重要,但端點(diǎn)通常是最后一道防御,如果可以部署適當(dāng)?shù)陌踩胧?,企業(yè)就可以阻止破壞。為了保護(hù)端點(diǎn),下面有一些可操作的步驟來最大限度地減少攻擊的機(jī)會。
永遠(yuǎn)不要作為管理員登錄
用戶不應(yīng)該作為管理員來登錄,并且,永遠(yuǎn)不應(yīng)該在其系統(tǒng)有管理員權(quán)限。在過去,執(zhí)行基本任務(wù)(例如安裝軟件)需要管理員權(quán)限,但在新操作系統(tǒng)中,這已經(jīng)發(fā)生改變。對于大多數(shù)操作系統(tǒng),即使沒有作為管理員登錄,客戶端仍然有基本功能來完成其工作。試想一下,如果用戶要求管理員訪問權(quán)限,也許他正式圖做的并不是履行其工作職能的事情。
卸載不必要的軟件
客戶端操作系統(tǒng)和應(yīng)用專注于確保一切都正常工作。因此,大多數(shù)默認(rèn)安裝包含額外的軟件,這些軟件并不是運(yùn)行系統(tǒng)的必要因素。通常情況下,攻擊者會瞄準(zhǔn)這些額外的軟件,將其作為攻擊點(diǎn)。卸載或移除不必要的軟件可以減少攻擊面以及盡量減少數(shù)據(jù)泄露。
修復(fù)所有軟件
補(bǔ)丁是供應(yīng)商告訴全世界其軟件中有漏洞;因此,系統(tǒng)越久未修復(fù)漏洞,漏洞利用的機(jī)會就越大。雖然修復(fù)一直是挑戰(zhàn),卸載不必要的軟件將會減少修復(fù)面,讓修復(fù)工作變得更容易。另外,集中化補(bǔ)丁管理是企業(yè)的關(guān)鍵,同樣重要的是記住在外的筆記本。如果系統(tǒng)離開網(wǎng)絡(luò),它可能會錯過網(wǎng)絡(luò)中的自動修復(fù)周期。
運(yùn)行應(yīng)用程序白名單
控制和管理哪些軟件可以運(yùn)行,并驗(yàn)證軟件的完整性,這是確保系統(tǒng)安全的關(guān)鍵。盡管應(yīng)用白名單需要很多企業(yè)的模式轉(zhuǎn)變,但這是保護(hù)端點(diǎn)的有價值和可擴(kuò)展的方式。同時,創(chuàng)建所有受批準(zhǔn)軟件的完整清單需要花一些時間,但這非常有用,因?yàn)榉怄i的系統(tǒng)會讓攻擊者非常難以攻破。
過濾危險的可執(zhí)行文件
大量惡意內(nèi)容通常作為電子郵件附件或網(wǎng)絡(luò)下載進(jìn)入網(wǎng)絡(luò)。通過過濾代理運(yùn)行附件和下載內(nèi)容不僅會檢查代碼,還會在隔離的安全沙箱中運(yùn)行它們,這可以實(shí)現(xiàn)對惡意代碼的早期檢測,從而在其進(jìn)入網(wǎng)絡(luò)之前過濾掉它。
在虛擬機(jī)運(yùn)行危險的應(yīng)用
兩個最危險的應(yīng)用是Web瀏覽器和電子郵件客戶端,這兩個應(yīng)用可導(dǎo)致非常顯著的破壞。應(yīng)對危險應(yīng)用(包括Web瀏覽器和電子郵件客戶端)的方法是在單獨(dú)隔離的虛擬機(jī)中運(yùn)行它們。如果內(nèi)容很危險,只有虛擬機(jī)會受到感染,而不是主機(jī)。在虛擬機(jī)關(guān)閉后,所有惡意代碼都會消失。雖然系統(tǒng)從不受到感染會更好,但通過這種方法,感染會受到隔離,并在短時間內(nèi)受到控制,從而減少破壞。
利用瘦客戶端
雖然并非在所有環(huán)境都可擴(kuò)展,但利用瘦客戶端是控制破壞的有效方法。傳統(tǒng)操作系統(tǒng)的問題是僅當(dāng)新硬件推出時才會重新安裝,這通常是每隔三年。因此,如果系統(tǒng)受到感染,它會在相當(dāng)長一段時間內(nèi)保持感染狀況。而在瘦客戶端,每次系統(tǒng)打開時,用戶就會收到新版本的操作系統(tǒng)。如果系統(tǒng)受到感染,它只會感染幾個小時,而不是幾年。
雖然沒有一種完美的方法來抵御攻擊,但在端點(diǎn)投入更多精力和努力可以更好地控制一次成功的攻擊帶來的攻擊數(shù)量以及破壞程度。