經常聽人說安全是一次旅行,而不是目的地。確實是這樣,因為在管理網絡資產安全時,你總是要領先你的對手(想要竊取、修改和破壞你的數據的網絡罪犯和不滿員工等)一步。你不能停留在一個地方太久,因為你的對手總是會不斷嘗試新技術來攻入你的網絡并獲取數據。在很多情況下,攻擊者甚至與網絡泄漏沒有直接關系,因為最具破壞性的攻擊通常是由有授權的內部人員發起的。
好人和壞人總是爭先恐后,有時候他們在你前面,有時候你又在他們前面。可能更準確地說,安全是一場競賽,與扳手腕比賽類似。然而,盡管安全是一場永遠不會結束的旅行,你需要了解并充分利用沿途的檢查站,這些能夠幫助你改善企業的整體安全狀態,并且能夠在任何時間點評估你的安全狀態。在評估安全性后,你可以作出一些調整來改變安全配置。
正是出于這些考慮,本文為大家提供了改善安全的八個技巧:
1、優化物理安全
安全行業有句老話:如果壞人可以獲取計算機的物理控制,那就完蛋了。一旦他們拿到物理控制權,他們就可以使用各種工具來訪問磁盤甚至是內存的數據,當然,他們還可以訪問“p0wnd”計算機移出和移入的任何信息。所以說,在考慮部署其他安全方法之前,物理安全是首先要考慮的。
物理安全包括:
進入電腦機房的密鑰、智能卡或者生物識別門控技術
對電腦機房進出情況的視頻記錄
對電腦機房進出情況的日志記錄和報告
在電腦機房的入口和出口部署保安或者其他觀察員
在防止攻擊者攻入你的系統方面,物理安全能發揮很大作用。但是物理安全只是第一步,我們都非常清楚,如果計算機連接到網絡,壞人不需要物理訪問就能進行破壞活動。
2、使用基于主機的防火墻
網絡防火墻似乎受到極大關注,網絡防火墻確實有優點,但是很多人似乎夸大了它的保護能力。事實上,現在市面上大多數防火墻只能提供很小的安全保障,原因之一在于大多數最嚴重的攻擊往往來自于網絡內部,所以網絡防火墻阻止外部用戶訪問內部網資源的功能似乎沒有多大作用。
相比之下,基于主機的防火墻就能夠保護企業資產阻止所有攻擊者,無論時內部還是外部攻擊者。此外,高級主機防火墻還可以配置為只允許計算機向用戶提供的特定服務的入站連接。這些基于主機的防火墻(例如具有Advanced Security的Windows防火墻)甚至可以要求用戶或者機器再網絡層進行身份驗證,這樣的話,沒有通過驗證或者沒有授權的用戶就不能進入應用程序層,應用程序層時大多數漏洞存在的地方,也是所有數據存儲的地方。
3、將你的網絡劃分為安全區
在涉及安全分區方面來看,前端web防火墻與數據庫防火墻有所不同。托管公共可用文件的文件服務器與托管機密營銷計劃的SharePoint服務器也不相同。出戰SMTP中繼與反向web代理服務器不同,因為它們位于不同的安全區。
你應該將你的資源劃分到不同的安全區,然后在這些區之間創建物理或者邏輯分區。如果你想要使用物理分區,你應該要確保分配到不同區域的資源有防火墻或者其他網絡訪問控制設備來分隔。如果你想要使用邏輯安全分區,你可以利用IPsec和服務器以及域名隔離來創建安全區之間的虛擬分區。
創建安全區可以讓你集中安全力量,來保護最重要的資產。分配給較低安全區的不太重要的資產同樣也受到了保護,但是你花在較低安全區的時間和精力相對要少得多,因為泄漏的成本比較高安全區的資產的成本要低得多。
4、對所有資產執行最小特權
最小權限原則是指用戶和管理員只能訪問他們的工作需要的資源和控制。用戶只能訪問他們工作需要訪問的網站,他們只能使用工作需要使用的應用程序,而管理員只能進行符合他們權限的配置更改。
最近這段時間,最小權限的整個原則似乎已經改變了,但是最小權限的價值和有效性并沒有改變。對于每個特權級別,如果用戶或管理員擁有比其需要的更高權限,就增加了泄漏的風險。用戶要使用ipad連接到企業資產,并不是好主意,我們經常遷就用戶的需求,而不是考慮他們必須的東西。
對于管理員而言,這個問題更加重要,因為他們經常具有完整權限來進行任何操作。Exchange管理員、數據庫管理員、SharePoint管理員、CRM管理員和其他服務管理員都應該具有符合他們管理角色的訪問控制權限。現代應用程序允許你將適當的權限分配給不同層次的管理員,可以利用這個功能來分配權限。
對于最終用戶而言,為他們提供工作需要的服務和數據訪問權限,防止他們訪問其他資產。這同樣適用于應用程序。如果應用程序沒有位于批準名單上,那么使用自動化的方法來防止應用程序安裝。
5、加密所有信息
使用BitLocker進行全磁盤加密可以很好的保護你的關鍵信息,甚至還可以幫助你防止物理泄漏。例如,如果有人從你的服務器機房竊取了一臺服務器,攻擊者會將驅動裝再服務器上,讀取文件系統,也就是所謂的離線攻擊。好消息是使用BitLocker加密磁盤可以防止離線攻擊。
但是整個磁盤加密不再僅限于內置硬盤驅動。在Windows7和Windows Server 2008 R2中,你可以在USB密鑰、USB驅動和其他類型的可移動媒介上使用磁盤加密。制定政策要求存儲了公司數據的可移動媒介必須使用BitLocker加密。
連接到用戶智能手機的可移動媒介也應該被加密。政策應該要求對智能手機操作系統的使用必須支持microSD卡加密,如果公司數據將存儲在上面。存儲在手機內置內存的數據也應該被加密,用戶應該使用可以進行遠程清除的手機,以防丟失和被盜的情況。
6、更新、更新、更新!
可能你已經知道這一點,但是提高企業整體安全狀態的最有效的方法之一就是保持應用程序和安全更新的更新。雖然很多管理員會抱怨微軟產品經常需要更新,事實上,微軟比其他供應商更具安全意識,因為他們非常注重軟件更新,如果你使用的軟件的供應商很少更新,不要認為這樣很安全。安全更新其實是供應商對其軟件安全問題關注程度的反映。
更新應該盡可能快地完成,因為一旦安全補丁被發現,攻擊者和黑客就已經知道漏洞,并會試圖在補丁發布和用戶安裝補丁的時間內利用它們。這也就是“零日”期間,這也是漏洞最容易被利用的時間。如果你使用自動更新,那么漏洞利用期就會小得多。
然而,很多公司需要先對安全更新進行測試,因為他們有很多業務應用程序可能會受到每次安全更新的影響,所以他們需要提前測試兼容性問題。在這種情況下,你可以通過部署外圍設備(例如Microsoft威脅管理網管2010,專門用于阻止已知微軟漏洞),這樣就可以縮短關鍵漏洞利用時期。
7、使用安全身份驗證機制
密碼破解技術的不斷發展使短密碼很容易被發現,先進的破解技術甚至能夠破解強度高的密碼。如果你必須使用帳戶和密碼來作用你唯一的身份驗證機制,那么必須要求所有密碼必須使15個或更多字符組成,包括大寫、小寫、數字和非字母數字字符。使用對于用戶有意義的復雜密碼(通常簡稱為“密碼短語”)可以讓用戶更好地記住密碼。但是在越來越移動化的世界,還有另一個問題。雖然記住長密碼短語很容易,但是將這么長的密碼輸入智能手機或者其他設備非常麻煩。
更好的方法就是雙因素身份驗證,這要求用戶使用某種設備(例如智能卡或者令牌)以及密碼(在2FA空間有時也被稱為PIN)。當使用雙因素身份驗證時,即使密碼被破解了,仍然意義不大,除非攻擊者拿到了設備本身。對于更安全的部署,應該添加額外的因素,例如語音識別、面部識別、指紋或者視網膜識別。
8、Secure Against Data Leakage
隨著云計算對我們的生活帶來越來越大的影響,基于網絡的安全將開始對你的安全設計和購買具有更小的影響,因為安全將需要與數據更加靠近。這也是數據泄漏保護的用武之地。你可以對信息進行嚴格訪問控制,所以只有授權用戶能夠訪問信息。但是然后呢?授權用戶可以怎樣使用這個信息?可以將信息傳給未授權用戶嗎?用戶可以打印出來或者郵寄給別人嗎?用戶對其進行修改并放回存儲庫,而該信息應該設置為只讀?
考慮一下如何保護授權用戶對數據的操作。如果你在使用微軟Office和SharePoint和Exchange,你可以利用微軟權限管理服務來制定政策,控制用戶對信息的操作。
經常聽人說安全是一次旅行,而不是目的地。確實是這樣,因為在管理網絡資產安全時,你總是要領先你的對手(想要竊取、修改和破壞你的數據的網絡罪犯和不滿員工等)一步。你不能停留在一個地方太久,因為你的對手總是會不斷嘗試新技術來攻入你的網絡并獲取數據。在很多情況下,攻擊者甚至與網絡泄漏沒有直接關系,因為最具破壞性的攻擊通常是由有授權的內部人員發起的。
好人和壞人總是爭先恐后,有時候他們在你前面,有時候你又在他們前面。可能更準確地說,安全是一場競賽,與扳手腕比賽類似。然而,盡管安全是一場永遠不會結束的旅行,你需要了解并充分利用沿途的檢查站,這些能夠幫助你改善企業的整體安全狀態,并且能夠在任何時間點評估你的安全狀態。在評估安全性后,你可以作出一些調整來改變安全配置。
正是出于這些考慮,本文為大家提供了改善安全的八個技巧:
1、優化物理安全
安全行業有句老話:如果壞人可以獲取計算機的物理控制,那就完蛋了。一旦他們拿到物理控制權,他們就可以使用各種工具來訪問磁盤甚至是內存的數據,當然,他們還可以訪問“p0wnd”計算機移出和移入的任何信息。所以說,在考慮部署其他安全方法之前,物理安全是首先要考慮的。
物理安全包括:
進入電腦機房的密鑰、智能卡或者生物識別門控技術
對電腦機房進出情況的視頻記錄
對電腦機房進出情況的日志記錄和報告
在電腦機房的入口和出口部署保安或者其他觀察員
在防止攻擊者攻入你的系統方面,物理安全能發揮很大作用。但是物理安全只是第一步,我們都非常清楚,如果計算機連接到網絡,壞人不需要物理訪問就能進行破壞活動。
2、使用基于主機的防火墻
網絡防火墻似乎受到極大關注,網絡防火墻確實有優點,但是很多人似乎夸大了它的保護能力。事實上,現在市面上大多數防火墻只能提供很小的安全保障,原因之一在于大多數最嚴重的攻擊往往來自于網絡內部,所以網絡防火墻阻止外部用戶訪問內部網資源的功能似乎沒有多大作用。
相比之下,基于主機的防火墻就能夠保護企業資產阻止所有攻擊者,無論時內部還是外部攻擊者。此外,高級主機防火墻還可以配置為只允許計算機向用戶提供的特定服務的入站連接。這些基于主機的防火墻(例如具有Advanced Security的Windows防火墻)甚至可以要求用戶或者機器再網絡層進行身份驗證,這樣的話,沒有通過驗證或者沒有授權的用戶就不能進入應用程序層,應用程序層時大多數漏洞存在的地方,也是所有數據存儲的地方。
3、將你的網絡劃分為安全區
在涉及安全分區方面來看,前端web防火墻與數據庫防火墻有所不同。托管公共可用文件的文件服務器與托管機密營銷計劃的SharePoint服務器也不相同。出戰SMTP中繼與反向web代理服務器不同,因為它們位于不同的安全區。
你應該將你的資源劃分到不同的安全區,然后在這些區之間創建物理或者邏輯分區。如果你想要使用物理分區,你應該要確保分配到不同區域的資源有防火墻或者其他網絡訪問控制設備來分隔。如果你想要使用邏輯安全分區,你可以利用IPsec和服務器以及域名隔離來創建安全區之間的虛擬分區。
創建安全區可以讓你集中安全力量,來保護最重要的資產。分配給較低安全區的不太重要的資產同樣也受到了保護,但是你花在較低安全區的時間和精力相對要少得多,因為泄漏的成本比較高安全區的資產的成本要低得多。
4、對所有資產執行最小特權
最小權限原則是指用戶和管理員只能訪問他們的工作需要的資源和控制。用戶只能訪問他們工作需要訪問的網站,他們只能使用工作需要使用的應用程序,而管理員只能進行符合他們權限的配置更改。
最近這段時間,最小權限的整個原則似乎已經改變了,但是最小權限的價值和有效性并沒有改變。對于每個特權級別,如果用戶或管理員擁有比其需要的更高權限,就增加了泄漏的風險。用戶要使用ipad連接到企業資產,并不是好主意,我們經常遷就用戶的需求,而不是考慮他們必須的東西。
對于管理員而言,這個問題更加重要,因為他們經常具有完整權限來進行任何操作。Exchange管理員、數據庫管理員、SharePoint管理員、CRM管理員和其他服務管理員都應該具有符合他們管理角色的訪問控制權限。現代應用程序允許你將適當的權限分配給不同層次的管理員,可以利用這個功能來分配權限。
對于最終用戶而言,為他們提供工作需要的服務和數據訪問權限,防止他們訪問其他資產。這同樣適用于應用程序。如果應用程序沒有位于批準名單上,那么使用自動化的方法來防止應用程序安裝。
5、加密所有信息
使用BitLocker進行全磁盤加密可以很好的保護你的關鍵信息,甚至還可以幫助你防止物理泄漏。例如,如果有人從你的服務器機房竊取了一臺服務器,攻擊者會將驅動裝再服務器上,讀取文件系統,也就是所謂的離線攻擊。好消息是使用BitLocker加密磁盤可以防止離線攻擊。
但是整個磁盤加密不再僅限于內置硬盤驅動。在Windows7和Windows Server 2008 R2中,你可以在USB密鑰、USB驅動和其他類型的可移動媒介上使用磁盤加密。制定政策要求存儲了公司數據的可移動媒介必須使用BitLocker加密。
連接到用戶智能手機的可移動媒介也應該被加密。政策應該要求對智能手機操作系統的使用必須支持microSD卡加密,如果公司數據將存儲在上面。存儲在手機內置內存的數據也應該被加密,用戶應該使用可以進行遠程清除的手機,以防丟失和被盜的情況。
6、更新、更新、更新!
可能你已經知道這一點,但是提高企業整體安全狀態的最有效的方法之一就是保持應用程序和安全更新的更新。雖然很多管理員會抱怨微軟產品經常需要更新,事實上,微軟比其他供應商更具安全意識,因為他們非常注重軟件更新,如果你使用的軟件的供應商很少更新,不要認為這樣很安全。安全更新其實是供應商對其軟件安全問題關注程度的反映。
更新應該盡可能快地完成,因為一旦安全補丁被發現,攻擊者和黑客就已經知道漏洞,并會試圖在補丁發布和用戶安裝補丁的時間內利用它們。這也就是“零日”期間,這也是漏洞最容易被利用的時間。如果你使用自動更新,那么漏洞利用期就會小得多。
然而,很多公司需要先對安全更新進行測試,因為他們有很多業務應用程序可能會受到每次安全更新的影響,所以他們需要提前測試兼容性問題。在這種情況下,你可以通過部署外圍設備(例如Microsoft威脅管理網管2010,專門用于阻止已知微軟漏洞),這樣就可以縮短關鍵漏洞利用時期。
7、使用安全身份驗證機制
密碼破解技術的不斷發展使短密碼很容易被發現,先進的破解技術甚至能夠破解強度高的密碼。如果你必須使用帳戶和密碼來作用你唯一的身份驗證機制,那么必須要求所有密碼必須使15個或更多字符組成,包括大寫、小寫、數字和非字母數字字符。使用對于用戶有意義的復雜密碼(通常簡稱為“密碼短語”)可以讓用戶更好地記住密碼。但是在越來越移動化的世界,還有另一個問題。雖然記住長密碼短語很容易,但是將這么長的密碼輸入智能手機或者其他設備非常麻煩。
更好的方法就是雙因素身份驗證,這要求用戶使用某種設備(例如智能卡或者令牌)以及密碼(在2FA空間有時也被稱為PIN)。當使用雙因素身份驗證時,即使密碼被破解了,仍然意義不大,除非攻擊者拿到了設備本身。對于更安全的部署,應該添加額外的因素,例如語音識別、面部識別、指紋或者視網膜識別。
8、Secure Against Data Leakage
隨著云計算對我們的生活帶來越來越大的影響,基于網絡的安全將開始對你的安全設計和購買具有更小的影響,因為安全將需要與數據更加靠近。這也是數據泄漏保護的用武之地。你可以對信息進行嚴格訪問控制,所以只有授權用戶能夠訪問信息。但是然后呢?授權用戶可以怎樣使用這個信息?可以將信息傳給未授權用戶嗎?用戶可以打印出來或者郵寄給別人嗎?用戶對其進行修改并放回存儲庫,而該信息應該設置為只讀?
考慮一下如何保護授權用戶對數據的操作。如果你在使用微軟Office和SharePoint和Exchange,你可以利用微軟權限管理服務來制定政策,控制用戶對信息的操作。
京公網安備 11010502049343號