網(wǎng)絡(luò)安全防護(hù)關(guān)鍵詞:識(shí)別(Identify)、保護(hù)(Protect)、檢測(cè)(Detect)、響應(yīng)(Respond)、恢復(fù)(Recover)。
1. 立即更新和升級(jí)軟件
關(guān)鍵詞:識(shí)別(Identify),保護(hù)(Protect)
應(yīng)用所有可用的軟件更新,盡可能使流程自動(dòng)化,并使用從供應(yīng)商直接提供的更新服務(wù)。自動(dòng)化是必要的,因?yàn)楣粽哐芯垦a(bǔ)丁、漏洞利用方法通常在補(bǔ)丁發(fā)布后不久。這些“N天”的漏洞利用可能會(huì)像零日漏洞一樣具有破壞性。供應(yīng)商更新也必須是真實(shí)的;更新應(yīng)確保內(nèi)容的完整性。如果沒(méi)有快速和徹底為應(yīng)用程序打補(bǔ)丁,攻擊者可以在防御者的補(bǔ)丁周期內(nèi)實(shí)施入侵。
2. 保護(hù)特權(quán)和帳戶安全
關(guān)鍵詞:識(shí)別(Identify),保護(hù)(Protect)
根據(jù)風(fēng)險(xiǎn)暴露面分配特權(quán),并按照要求進(jìn)行維護(hù)操作。使用特權(quán)訪問(wèn)管理(PAM)解決方案來(lái)自動(dòng)化憑證管理和細(xì)粒度訪問(wèn)控制。另一種管理特權(quán)的方法是通過(guò)分層管理訪問(wèn),其中每個(gè)高級(jí)層提供額外的訪問(wèn)權(quán)限,但僅限于更少的人員。創(chuàng)建程序以安全地重置憑證(例如,密碼、令牌、標(biāo)簽)。必須對(duì)特權(quán)帳戶和服務(wù)進(jìn)行控制,防止攻擊者以管理員身份訪問(wèn)高價(jià)值資產(chǎn),并通過(guò)網(wǎng)絡(luò)進(jìn)行橫向移動(dòng)。
3. 強(qiáng)制軟件執(zhí)行策略
關(guān)鍵詞:保護(hù)(Protect),檢測(cè)(Detect)
使用新版本的操作系統(tǒng),并為腳本、可執(zhí)行文件、設(shè)備驅(qū)動(dòng)程序和系統(tǒng)固件強(qiáng)制簽署軟件執(zhí)行策略。維護(hù)一個(gè)可信證書(shū)列表,以防止和檢測(cè)非法可執(zhí)行文件的使用和注入。執(zhí)行策略與安全啟動(dòng)功能結(jié)合使用時(shí),可以確保系統(tǒng)完整性。應(yīng)用程序白名單應(yīng)與簽名的軟件執(zhí)行策略一起使用,以提供更好的控制。 允許未簽名的軟件將使攻擊者通過(guò)嵌入式惡意代碼獲得立足點(diǎn)并建立持久性。
4. 執(zhí)行系統(tǒng)恢復(fù)計(jì)劃
關(guān)鍵詞:識(shí)別(Identify),響應(yīng)(Respond),恢復(fù)(Recover)
創(chuàng)建,審查和實(shí)施系統(tǒng)恢復(fù)計(jì)劃,以確保將數(shù)據(jù)恢復(fù)為全面災(zāi)難恢復(fù)策略的一部分。該計(jì)劃必須保護(hù)關(guān)鍵數(shù)據(jù)、配置和日志以確保由于意外事件而導(dǎo)致的操作連續(xù)性。為了獲得額外的保護(hù),應(yīng)盡可能加密備份,異地存儲(chǔ),脫機(jī),并支持系統(tǒng)和設(shè)備的完整恢復(fù)和重構(gòu)。執(zhí)行定期測(cè)試并評(píng)估備份計(jì)劃。根據(jù)需要更新計(jì)劃以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境?;謴?fù)計(jì)劃是自然災(zāi)害以及包括勒索軟件在內(nèi)的惡意威脅的必要緩解措施。
5. 積極的系統(tǒng)和配置管理
關(guān)鍵詞:識(shí)別(Identify),保護(hù)(Protect)
盤(pán)點(diǎn)網(wǎng)絡(luò)設(shè)備和軟件資產(chǎn)。從網(wǎng)絡(luò)中刪除不需要的,不必要的或不應(yīng)該存在的硬件和軟件。從已知基線開(kāi)始減少攻擊面并建立操作環(huán)境的控制。此后,積極管理設(shè)備、應(yīng)用程序、操作系統(tǒng)和安全配置。積極的企業(yè)管理確保系統(tǒng)能夠適應(yīng)動(dòng)態(tài)威脅環(huán)境,同時(shí)擴(kuò)展和精簡(jiǎn)管理操作。
6. 持續(xù)獵取網(wǎng)絡(luò)入侵
關(guān)鍵詞:檢測(cè)(Detect),響應(yīng)(Respond),恢復(fù)(Recover)
采取主動(dòng)措施檢測(cè),遏制并移除網(wǎng)絡(luò)中的任何惡意存在。企業(yè)組織應(yīng)該假設(shè)被入侵,并且使用專門的團(tuán)隊(duì)不斷尋找、遏制并移除網(wǎng)絡(luò)中的威脅。諸如日志,安全信息和事件管理(SIEM)產(chǎn)品,端點(diǎn)檢測(cè)和響應(yīng)(EDR)解決方案以及其他數(shù)據(jù)分析功能的被動(dòng)檢測(cè)機(jī)制是發(fā)現(xiàn)惡意或異常行為的寶貴工具。積極的動(dòng)作還應(yīng)該包括追蹤和滲透測(cè)試,使用詳細(xì)記錄的事件響應(yīng)程序來(lái)處理任何發(fā)現(xiàn)的安全漏洞。建立積極主動(dòng)的步驟將使組織過(guò)渡到基本檢測(cè)方法之外,使用持續(xù)監(jiān)控和緩解策略實(shí)現(xiàn)實(shí)時(shí)威脅檢測(cè)和修復(fù)。
7. 利用現(xiàn)代硬件安全特性
關(guān)鍵詞:識(shí)別(Identify),保護(hù)(Protect)
使用硬件安全功能,如統(tǒng)一可擴(kuò)展固件接口(UEFI)安全啟動(dòng),可信平臺(tái)模塊(TPM),和硬件虛擬化。對(duì)硬件進(jìn)行固件升級(jí)?,F(xiàn)代硬件特性增加了啟動(dòng)過(guò)程的完整性,為高風(fēng)險(xiǎn)應(yīng)用程序提供了系統(tǒng)認(rèn)證和支持功能。使用過(guò)時(shí)的硬件上的現(xiàn)代操作系統(tǒng)會(huì)降低保護(hù)系統(tǒng)、關(guān)鍵數(shù)據(jù)和對(duì)攻擊者的認(rèn)證能力。
8. 使用基于應(yīng)用感知防御技術(shù)隔離網(wǎng)絡(luò)
關(guān)鍵詞:保護(hù)(Protect),檢測(cè)(Detect)
隔離關(guān)鍵網(wǎng)絡(luò)和服務(wù)。根據(jù)政策和法律授權(quán),部署基于應(yīng)用感知的網(wǎng)絡(luò)防御措施可以阻止不當(dāng)形成的流量并限制內(nèi)容?;谝阎?不良簽名的傳統(tǒng)入侵檢測(cè)由于加密和混淆技術(shù)而迅速降低了效率。威脅行為者隱藏惡意行為并通過(guò)通用協(xié)議刪除數(shù)據(jù),因此需要復(fù)雜的應(yīng)用感知防御機(jī)制,這對(duì)現(xiàn)代網(wǎng)絡(luò)防御至關(guān)重要。
9. 整合威脅信譽(yù)服務(wù)
關(guān)鍵詞:保護(hù)(Protect),檢測(cè)(Detect)
利用多來(lái)源的威脅信譽(yù)服務(wù)來(lái)處理文件、DNS、url、IPs和電子郵件地址。信譽(yù)服務(wù)協(xié)助檢測(cè)和防止惡意事件,并允許對(duì)威脅進(jìn)行快速的全球響應(yīng),減少已知威脅的暴露,并提供更大的威脅分析和引爆能力,而不是組織可以自行提供。新出現(xiàn)的威脅,無(wú)論是針對(duì)目標(biāo)的還是全球性的, 都比大多數(shù)組織所能處理的要快,從而導(dǎo)致對(duì)新增威脅的報(bào)道不足。多源信譽(yù)和信息共享服務(wù)可以為針對(duì)動(dòng)態(tài)威脅行為者提供更及時(shí)有效的安全姿態(tài)。
10. 轉(zhuǎn)換到多因素認(rèn)證
關(guān)鍵詞:識(shí)別(Identify),保護(hù)(Protect)
優(yōu)先保護(hù)具有提升特權(quán)、遠(yuǎn)程訪問(wèn)、用于高價(jià)值資產(chǎn)的帳戶。應(yīng)使用基于物理令牌的認(rèn)證系統(tǒng)來(lái)補(bǔ)充基于知識(shí)的驗(yàn)證,如密碼和PIN。組織應(yīng)從單因素身份驗(yàn)證(如基于密碼的系統(tǒng))遷移出去,這些系統(tǒng)的用戶選擇較差,易受到多個(gè)系統(tǒng)中的憑證失竊,偽造和重復(fù)使用的影響。