很多時候,端點設備是攻擊的初始點,允許攻擊橫向移動到網絡中,從而制造更多的破壞……
我們經常聽說大型數據泄露事故以及大規模攻擊事件,但你是否曾退一步想想,很多攻擊的根本原因是什么?很多時候,端點設備是攻擊的初始點,允許攻擊橫向移動到網絡中,從而制造更多的破壞。雖然擁有良好設計和受保護的網絡很重要,但端點通常是最后一道防御,如果可以部署適當的安全措施,企業就可以阻止破壞。為了保護端點,下面有一些可操作的步驟來最大限度地減少攻擊的機會。
永遠不要作為管理員登錄
用戶不應該作為管理員來登錄,并且,永遠不應該在其系統有管理員權限。在過去,執行基本任務(例如安裝軟件)需要管理員權限,但在新操作系統中,這已經發生改變。對于大多數操作系統,即使沒有作為管理員登錄,客戶端仍然有基本功能來完成其工作。試想一下,如果用戶要求管理員訪問權限,也許他正式圖做的并不是履行其工作職能的事情。
卸載不必要的軟件
客戶端操作系統和應用專注于確保一切都正常工作。因此,大多數默認安裝包含額外的軟件,這些軟件并不是運行系統的必要因素。通常情況下,攻擊者會瞄準這些額外的軟件,將其作為攻擊點。卸載或移除不必要的軟件可以減少攻擊面以及盡量減少數據泄露。
修復所有軟件
補丁是供應商告訴全世界其軟件中有漏洞;因此,系統越久未修復漏洞,漏洞利用的機會就越大。雖然修復一直是挑戰,卸載不必要的軟件將會減少修復面,讓修復工作變得更容易。另外,集中化補丁管理是企業的關鍵,同樣重要的是記住在外的筆記本。如果系統離開網絡,它可能會錯過網絡中的自動修復周期。
運行應用程序白名單
控制和管理哪些軟件可以運行,并驗證軟件的完整性,這是確保系統安全的關鍵。盡管應用白名單需要很多企業的模式轉變,但這是保護端點的有價值和可擴展的方式。同時,創建所有受批準軟件的完整清單需要花一些時間,但這非常有用,因為封鎖的系統會讓攻擊者非常難以攻破。
過濾危險的可執行文件
大量惡意內容通常作為電子郵件附件或網絡下載進入網絡。通過過濾代理運行附件和下載內容不僅會檢查代碼,還會在隔離的安全沙箱中運行它們,這可以實現對惡意代碼的早期檢測,從而在其進入網絡之前過濾掉它。
在虛擬機運行危險的應用
兩個最危險的應用是Web瀏覽器和電子郵件客戶端,這兩個應用可導致非常顯著的破壞。應對危險應用(包括Web瀏覽器和電子郵件客戶端)的方法是在單獨隔離的虛擬機中運行它們。如果內容很危險,只有虛擬機會受到感染,而不是主機。在虛擬機關閉后,所有惡意代碼都會消失。雖然系統從不受到感染會更好,但通過這種方法,感染會受到隔離,并在短時間內受到控制,從而減少破壞。
利用瘦客戶端
雖然并非在所有環境都可擴展,但利用瘦客戶端是控制破壞的有效方法。傳統操作系統的問題是僅當新硬件推出時才會重新安裝,這通常是每隔三年。因此,如果系統受到感染,它會在相當長一段時間內保持感染狀況。而在瘦客戶端,每次系統打開時,用戶就會收到新版本的操作系統。如果系統受到感染,它只會感染幾個小時,而不是幾年。
雖然沒有一種完美的方法來抵御攻擊,但在端點投入更多精力和努力可以更好地控制一次成功的攻擊帶來的攻擊數量以及破壞程度。