Topic Overview
如果你是网络安全领域的新手, 你可能想知道从哪里开始, how to do it, what you need, and why you need it. 在大多数情况下,从以下基础开始可以大大降低您的总体风险.
这是每一个成功的安全计划的基石和基本基础. 拥有一个可靠的资产清单取决于一些简单的事情:知道你拥有什么资产, where they are on your network, 它们包含什么样的软件和配置, 以及哪些用户和系统可以访问它们.
从安全的角度来看,什么是“资产”? 对于初学者,任何类型的网络可访问的电子系统,包括(但不限于):
如果您的资产清单存在漏洞,那么您的安全程序也可能存在漏洞. 如果你要求所有的笔记本电脑在你的IT团队把它们交给员工之前都启用了全磁盘加密——但是你和你的IT团队不知道你的人力资源团队刚刚用公司信用卡购买了五台新笔记本电脑——它们很可能不会被加密(直到有人发现它)。.
网络和漏洞管理解决方案可以帮助维护和识别组织资产清单中的差距. 使用网络扫描和端点代理的组合可以帮助提供丰富的, 资产清单的近实时数据.
任何好的安全程序都是从多因素身份验证(MFA)开始的 security awareness training 用于访问关键的个人或业务数据. 认证的形式分为三类:
密码从根本上是有缺陷的,很容易通过网络钓鱼攻击窃取, password-guessing attacks, and malware. 只需使用密码来保护您的数据, 攻击者只需要跳一圈就可以破坏您的帐户. 要求对用户进行多种形式的身份验证使得攻击者获得用户凭据(以及访问)变得更加困难和昂贵.
这里需要注意的一件重要事情是,从安全性的角度来看,要求来自同一类别的两种形式的身份验证是不够的. For example, 如果你要求用户输入密码,然后回答一个安全问题——比如“你母亲的娘家姓什么??——这不算双因素认证.
由于这些都是“您知道的东西”,因此只需进行两次单因素身份验证. 需要一个密码(你知道的东西),然后是一个由智能手机上的应用程序生成的六位代码(你拥有的东西), however.
Simply put, patch management 意味着确保所有的软件都是最新的,安装和配置正确. 这包括获取、测试和安装补丁.e. 软件更新)到您组织的系统和设备.
To do this effectively, 您需要不断了解可用的补丁, 确定哪些系统需要哪些组件, oversee their installation, 并在补丁后测试问题. 这通常是作为IT和DevOps团队之间的伙伴关系来处理的, as opposed to the security team.
补丁管理密切相关 vulnerability management即确定IT环境中是否存在漏洞的过程. 补丁管理背后有三个要素:优先考虑漏洞修复, 评估补偿控制(1).e. 降低漏洞风险的现有安全技术或系统), 确保补丁安装正确.
以下是这些元素重要的原因:应用补丁有时会破坏您正在使用的软件的另一部分, causing more harm than good. 了解这种固有风险将在如何确定应用哪个补丁的优先级方面发挥重要作用.
如果补丁确实破坏了软件——需要您移除补丁——那么适当的补偿控制将使攻击者更难利用再次出现的漏洞. 补偿控制的一个例子是实现防火墙规则,限制可以与不易修补的易受攻击系统进行通信的系统数量.
以帮助减轻潜在的影响, 在非关键系统上或在反映生产环境的测试环境中测试补丁是个好主意.
去中心化在您的网络和云服务中传播数据,以确保如果您组织的网络中的一个用户或服务器受到损害, 攻击者不一定能够访问存储在其他地方的公司数据.
For example, 如果攻击者在分散的环境中找到了进入办公室内部文件共享系统的方法, 他们可能只能访问办公室的共享文件,但不一定能访问云存储提供商提供的所有文件. However, 如果您有一个集中式环境,并且攻击者破坏了一台服务器, 他们可能会找到从该服务器轻松移动到其他公司系统和数据的方法, such as email servers, financial statements, or user directories.
去中心化提供了两个好处:
如果你有一个小的安全团队, 监控公司使用的数十个云应用程序可能非常困难. Luckily, 成熟的云服务提供商在他们自己的安全团队和程序上投入了大量资金,专注于深入保护他们的环境.
将供应商的应用程序与网络的其余部分分开,使您的安全团队能够专注于组织的核心环境, 而供应商的安全团队可以专注于保护他们代表您托管的应用程序或服务.
如果一个供应商应用程序在分散的环境中受到损害, 这意味着数据泄露的影响仅限于该应用程序或供应商.
这样做会使攻击者更难(但并非不可能)访问您的系统和信息的其余部分. 攻击者就越难到达中央服务器, 他们就需要在袭击中投入更多的时间和金钱, 他们就越有可能放弃它或被抓住.
这是确定哪些网络系统和设备需要相互通信的过程, 然后只允许这些系统相互通信,不允许其他的.
例如,假设一名护士在医院的笔记本电脑上工作. In a securely segmented network, 这种笔记本电脑只能与一两个其他系统通信, 例如打印服务器(用于打印患者记录)和患者记录应用程序本身. However, 在一个“平面网络”中——一个系统之间没有分段的网络——这台笔记本电脑可以与网络上的所有其他系统进行通信. 如果攻击者入侵了笔记本电脑, 他们可以通过完全不受控制的横向移动来攻击这些系统.
有效地分割你的网络, 盘点你最重要的资产是很有必要的, 了解他们在你的网络中的位置, 以及可以访问它们的特定系统和用户. 如果资产可以被更多的系统和用户访问,那么应该对其进行补救.
最小化系统或应用程序的总体攻击面, 尝试始终基于的原则授予访问权限 least privilege access (LPA). 您还需要确保网络上没有任何东西能够直接与数据库服务器通信, 关键应用程序数据通常存储在哪里.
一旦您整合了这些基本的最佳实践, 攻击者可能会发现在您的网络中自由移动变得更加困难. Plus, 攻击的成本和时间越长, 攻击者就越有可能放弃攻击或被抓住.