遵循攻击面管理的一些优秀实践可以最大限度地减少漏洞,并减少威胁行为者危害企业网络和设备的机会。
更多的云计算解决方案、远程工作系统以及连接互联网的设备会增加网络攻击面扩大的风险。减少漏洞数量的最佳方法是建立适当的企业攻击面管理程序。
正确的网络攻击面管理需要分析操作以发现潜在漏洞并了解情况。这些信息应该有助于制定计划,但成功取决于在企业的网络、系统、渠道和接触点中执行该计划。
以下是构建企业攻击面管理程序时需要考虑的一些有优秀实践:
1. 映射攻击面
要进行适当的防御,企业必须了解数字资产暴露的内容、网络攻击者最有可能以网络为目标的位置,以及需要采取哪些保护措施。因此,提高网络攻击面的可见性并采用应对攻击漏洞的有力措施至关重要。要查找的漏洞类型包括较旧且安全性较低的计算机或服务器、未打补丁的系统、过时的应用程序和暴露的物联网设备。
预测建模有助于创建对可能发生的事件及其风险的真实描述,进一步加强防御和主动措施。一旦了解了风险,就可以对攻击事件或数据违规之前、期间和之后会发生的情况进行建模。可以预期会有什么样的经济损失?企业的声誉会受到什么损害?企业会丢失商业情报、商业机密或更多数据吗?
SANS公司新兴安全趋势主管John Pescatore说,“成功的映射攻击面策略非常简单:了解需要保护的内容(准确的资产清单);监控这些资产中的漏洞;并使用威胁情报来了解攻击者如何利用这些漏洞攻击这些资产……这三个阶段中的每一个阶段都需要拥有安全技术的熟练员工,以跟上所有三个领域的变化速度。”
2. 最小化漏洞
一旦企业映射了攻击面,他们就可以采取行动,以减轻最重要的漏洞和潜在攻击向量所构成的风险,然后再继续执行较低优先级的任务。尽可能使资产离线运行和加强内部和外向网络是两个关键领域。
大多数网络平台供应商现在都提供一些工具来帮助最小化其攻击面。例如,微软公司的攻击面减少(ASR)规则允许用户阻止攻击者常用的进程和可执行文件。
大多数违规是由人为错误造成的。因此,建立安全意识和培训员工是减少漏洞的另一个关键方面。企业采用哪些政策可以帮助他们掌握个人和工作安全?他们知道需要什么吗?他们应该使用哪些安全实践?失败将如何影响他们和整个业务?
并非所有漏洞都需要解决,有些漏洞无论如何都会持续存在。可靠的网络安全策略包括识别相关来源的方法,找出更有可能被利用的来源。这些是应该处理和监控的漏洞。
大多数企业允许的访问权限超过员工和承包商所需的访问权限。适当范围的权限可以确保即使帐户遭到破坏也不会造成中断或重大损害。开始对关键系统的访问权限进行分析,然后将每个人和设备的访问权限限制在他们需要保护的资产上。
3. 建立强大的安全实践和政策
遵循久经考验的安全最佳实践将会显著地减少企业的攻击面。这包括实施入侵检测解决方案、定期进行风险评估以及制定明确有效的政策。
以下是一些需要考虑的实践:
- 使用强大的身份验证协议和访问控制进行健康的帐户管理。
- 建立一致的修补和更新策略。
- 维护和测试关键数据的备份。
- 对网络进行分段,以在发生漏洞时将损坏降至最低。
- 监控和淘汰旧设备、设备和服务。
- 在可行的地方使用加密。
- 制定或限制BYOD政策和计划。
4. 建立安全监控和测试协议
随着IT基础设施的变化和威胁行为者的发展,强大的网络安全计划需要不断调整。这需要持续监控和定期测试,后者通常通过第三方渗透测试服务。
监控通常通过自动化系统完成,如安全信息和事件管理软件(SIEM)。它将主机系统和应用程序生成的日志数据收集到网络和安全设备,例如防火墙和防病毒过滤器。然后,安全信息和事件管理软件(SIEM)识别、分类和分析事件,并对其进行分析。
渗透测试提供公正的第三方反馈,帮助企业更好地了解漏洞。渗透测试人员进行旨在揭示关键漏洞的模拟攻击。测试应涉及企业网络和BYOD的核心元素以及供应商正在使用的第三方设备。移动设备约占企业数据交互的60%。
5. 强化电子邮件系统
网络钓鱼是网络攻击者入侵企业网络的常见方式。然而,一些企业尚未完全部署旨在限制员工收到的恶意电子邮件数量的电子邮件协议。这些协议是:
- 发件人策略框架(SPF)可以防止对合法电子邮件返回地址进行欺骗。
- 域密钥识别邮件(DKIM)可以防止“显示发件人”电子邮件地址的欺骗,即收件人在预览或打开邮件时看到的内容。
- 基于域的邮件身份验证、报告和一致性(DMARC)允许设置有关如何处理由SPF或DKIM识别的失败或欺骗电子邮件的规则。
Aetna公司前首席信息安全官Pescatore表示,“如果企业管理层支持进行所需的更改,能够保证业务收益超过安全成本,从而使企业转向安全软件开发,并实施强大的电子邮件身份验证。”
并非所有建议都能落实,但他实现了,其采取的措施减少了软件漏洞,并缩短了所在公司的上市时间。转向DMARC和强大的电子邮件身份验证提高了电子邮件营销活动的点击率。
6. 了解合规性
所有企业都应制定政策和程序来研究、确定和理解内部和政府标准。目标是确保所有安全策略都符合要求,并且对各种攻击和违规类型都有适当的响应计划。
企业还需要建立一个工作组和战略,以便在新政策和法规生效时对其进行审查。与合规性对于现代网络安全策略一样重要,但这并不一定意味着它应该是优先事项。Pescatore说,“合规性往往是第一位的,但几乎100%发生信用卡信息泄露的公司都符合PCI合规性。然而它们并不安全。”
7. 聘请审计人员
在评估企业攻击面时,即使是最好的安全团队有时也需要获得外部帮助。聘请安全审计人员和分析师可以帮助企业发现可能会被忽视的攻击媒介和漏洞。
他们还可以协助制定事件管理计划,以应对潜在的违规和攻击。很多企业没有为网络安全攻击做好准备,因为他们没有制衡和衡量网络攻击的政策。
Smart Billions公司首席技术官Jason Mitchell说:“在尝试客观地确定安全风险时,拥有一个外部的、公正的观点可能非常有益。使用独立的监控流程来帮助识别风险行为和威胁,以免它们成为端点上的问题,尤其是新的数字资产、新加入的供应商和远程工作的员工。”
