這些建議是圍繞保障措施制定的,包括14項(xiàng)基礎(chǔ)保障措施和26項(xiàng)可操作的保障措施。
識別網(wǎng)絡(luò)上內(nèi)容的安全措施
國際安全與技術(shù)研究所推薦以下基本保護(hù)措施,以幫助確定中小型企業(yè)網(wǎng)絡(luò)上需要保護(hù)的內(nèi)容:
·建立并維護(hù)一份詳細(xì)的企業(yè)資產(chǎn)清單。
·建立和維護(hù)軟件清單。
·建立和維護(hù)數(shù)據(jù)管理流程。
·建立和維護(hù)賬戶清單。
中小型企業(yè)可能需要更多指導(dǎo)來了解其計(jì)算機(jī)和軟件帶來的風(fēng)險。許多人使用較舊的技術(shù),因?yàn)樗顷P(guān)鍵業(yè)務(wù)線應(yīng)用程序所需要的。中小型企業(yè)只是清點(diǎn)自己的資產(chǎn)是不夠的;需要評估所面臨的風(fēng)險,因?yàn)槿栽谑褂门f資產(chǎn)和舊軟件。
可操作的保障措施是確保支持授權(quán)軟件。
保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的保障措施
接下來的建議包括如何保護(hù)這些資產(chǎn):
·建立和維護(hù)安全的配置過程。
·建立和維護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全配置過程。
·建立訪問授權(quán)流程。
·建立訪問撤銷流程。
·建立和維護(hù)漏洞管理流程。
·建立和維護(hù)補(bǔ)救過程。
·建立和維護(hù)安全意識計(jì)劃。
中小型企業(yè)中的工作站使用不安全的密碼,或者沒有為內(nèi)部部署訪問和遠(yuǎn)程訪問提供適當(dāng)?shù)谋Wo(hù)。網(wǎng)絡(luò)攻擊者通常通過遠(yuǎn)程桌面訪問或破解網(wǎng)絡(luò)上相同的本地管理員密碼進(jìn)入。更糟糕的是,當(dāng)用戶沒有使用適當(dāng)?shù)木W(wǎng)絡(luò)訪問權(quán)限時。中小型企業(yè)通常設(shè)置有域管理員權(quán)限,并查看如何部署密碼,無論是否擁有傳統(tǒng)的域和工作站設(shè)置或云計(jì)算和Web應(yīng)用程序,需要查看多因素身份驗(yàn)證選項(xiàng)。
接下來,查看如何管理和修補(bǔ)計(jì)算資源。僅依靠Windows Update來管理計(jì)算機(jī)系統(tǒng)上的更新是不夠的。需要查看維護(hù)和部署更新的選項(xiàng)。
培訓(xùn)員工不要點(diǎn)擊不明來源的鏈接是保護(hù)網(wǎng)絡(luò)的最佳方法之一。無論采取何種保護(hù)措施,最好的防御措施是受過安全教育的最終用戶不會點(diǎn)擊鏈接并詢問是否合法。即使企業(yè)沒有正式的網(wǎng)絡(luò)釣魚培訓(xùn)計(jì)劃,也要確保用戶了解欺詐和攻擊。
正如白皮書所指出的:“勒索軟件具有多種初始感染媒介,有三種媒介造成了大部分入侵嘗試:一是使用遠(yuǎn)程桌面協(xié)議(RDP),這是一種用于遠(yuǎn)程管理Windows設(shè)備的協(xié)議。二是網(wǎng)絡(luò)釣魚(通常是來自信譽(yù)良好的惡意電子郵件源,但旨在竊取憑據(jù)或敏感信息),三是利用軟件漏洞。強(qiáng)化資產(chǎn)、軟件和網(wǎng)絡(luò)設(shè)備可以抵御這些頂級攻擊媒介,并彌補(bǔ)可能因不安全的默認(rèn)配置而存在的安全漏洞。如果無法禁用/刪除默認(rèn)帳戶、更改默認(rèn)密碼和/或更改其他易受攻擊的設(shè)置,則會增加被網(wǎng)絡(luò)攻擊利用的風(fēng)險。本節(jié)中的保障措施要求中小型企業(yè)在服務(wù)器上實(shí)施和管理防火墻,并管理企業(yè)網(wǎng)絡(luò)和系統(tǒng)上的默認(rèn)帳戶。”
推薦的可行保護(hù)措施是:
·管理企業(yè)資產(chǎn)和軟件的默認(rèn)帳戶。
·使用唯一的密碼。
·禁用休眠帳戶。
·將管理員權(quán)限限制為專用管理員帳戶。
·對于外部公開的應(yīng)用程序需要多因素身份驗(yàn)證。
·需要多因素身份驗(yàn)證才能進(jìn)行遠(yuǎn)程網(wǎng)絡(luò)訪問。
·需要多因素身份驗(yàn)證才能進(jìn)行管理訪問。
·執(zhí)行自動化的操作系統(tǒng)補(bǔ)丁管理。
·執(zhí)行自動化的應(yīng)用程序補(bǔ)丁管理。
·僅使用完全支持的瀏覽器和電子郵件客戶端。
·使用DNS過濾服務(wù)。
·確保網(wǎng)絡(luò)基礎(chǔ)設(shè)施是最新的。
·部署和維護(hù)反惡意軟件。
·配置自動反惡意軟件簽名更新。
·禁用可移動媒體的自動運(yùn)行和自動播放。
·培訓(xùn)員工識別社交工程攻擊。
·培訓(xùn)員工識別和報告安全事件。
事件響應(yīng)的保障措施
中小型企業(yè)經(jīng)常忽略有關(guān)事件響應(yīng)的下一組建議:
·建立和維護(hù)報告事件的企業(yè)流程。
·建立和維護(hù)審計(jì)日志管理流程。
企業(yè)通常希望他們的系統(tǒng)在安全事件發(fā)生后盡快恢復(fù)到正常水平,因此不確定一些中小型企業(yè)是否會建立一個報告事件的流程。在此給出的建議是調(diào)查一種云計(jì)算服務(wù),該服務(wù)會累積并提醒網(wǎng)絡(luò)上的異常事件。如果不了解日志記錄試圖告訴的內(nèi)容,那么只是進(jìn)行日志記錄是不夠的。最好提供一種服務(wù),能夠關(guān)聯(lián)這些事件并提醒潛在的問題。
事件響應(yīng)的可行保障措施包括:
·指定人員來管理事件處理。
·建立和維護(hù)用于報告安全事件的聯(lián)系信息。
·收集審計(jì)日志。
·確保足夠的審計(jì)日志存儲。
在遭遇網(wǎng)絡(luò)攻擊后恢復(fù)的保障措施
勒索軟件可以采用備份很容易地克服這個過程。該框架建議的基本保障是建立和維護(hù)一個數(shù)據(jù)恢復(fù)過程。以下是建議的恢復(fù)保障措施:
•執(zhí)行自動備份。
•保護(hù)恢復(fù)數(shù)據(jù)。
•建立和維護(hù)獨(dú)立的恢復(fù)數(shù)據(jù)實(shí)例。
中小型企業(yè)可能沒有考慮或測試他們的恢復(fù)流程。備份可能無法正常工作,或者在勒索軟件的情況下,沒有從網(wǎng)絡(luò)對重建的立場進(jìn)行測試。
藍(lán)圖文檔包括推薦工具和資源的鏈接。對于沒有IT經(jīng)驗(yàn)的中小型企業(yè)來說,制定這些工具清單可能會令人生畏,所以也建議使用這些工具來檢查顧問使用的工具。討論他們使用什么流程,看看他們是否有可比較的資源。
可采取行動的恢復(fù)保障措施包括:
·執(zhí)行自動備份。
·保護(hù)恢復(fù)數(shù)據(jù)。
·建立和維護(hù)隔離的恢復(fù)數(shù)據(jù)實(shí)例。
關(guān)于企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,同時在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。同時運(yùn)營18個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號