一种经常被忽视的显著降低风险的方法是加固系统, 技术, 网络基础设施. 每个基础设施组件, 包括人的因素, 可以硬化以减少攻击结构和风险吗, 简化使用, 由于需要修补的漏洞,与维护和保护系统相关的支持成本.
只给工作需要的东西
从网络安全的角度来看, 安全加固只是给一个人, 过程, 或设备什么是必需的服务于其预期的功能, 没有其他的. 同样的理念也适用于组织中的员工. 降低风险, 组织应该只给员工提供执行其工作职能所需的东西, 没有更多. 值得一问的是:这个人需要上网吗, 电子邮件, 和微软Excel来完成他们的工作职责? 如果没有,那么他们就不应该访问这些应用程序. 每个应用程序都有其固有的风险.
降低风险, 组织应该只给员工提供执行其工作职能所需的东西, 没有更多.
加固臃肿的软件
臃肿的IT基础设施组件在组织中很常见. 对于操作系统(OS)来说尤其如此。. 是否为用户终端的操作系统, 服务器, 域控制器, 数据库, 或应用服务器, 它通常充斥着不必要的和有风险的附加组件, 应用程序, 后台进程, 公用事业公司, 服务, 协议, 及配件. 加固为该问题提供了解决方案. 加固的核心原则是每个设备一个功能. 对于该函数(i.e.(不需要做的工作)应该被淘汰. 这简化了操作系统, 减少修补漏洞的数量, 并且显著降低了组织基础结构的风险. 此外,它还减少了需要服务台票证和最终用户支持的问题数量. 加固还可以减少系统资源的使用, CPU处理能力, 内存, 网络利用率, 和硬盘空间.
减少攻击面
加固的主要目标是通过消除或压缩攻击面来降低风险. 不需要的应用程序、软件、访问、端口、服务等. 所有这些都有助于威胁行为者利用的攻击面. 这些不必要的工具和附件包可以帮助威胁行为者横向移动, 收集信息, 进行更有针对性的攻击. 通过移除与功能无关的多余元素, 威胁行为者和恶意软件建立持久性并在网络上移动的机会较少.
构建STIGS和硬化图像
硬化需要有条理的勤奋,去除所有不需要的东西. 构建硬化图像, 组织需要开发安全技术实现指南(stig). STIG是针对特定资产(如操作系统、应用程序或硬件)的书面计划. stig包含特定的配置和维护实践,以确保安全地设置和管理一切. STIG甚至详细说明了安装应该如何进行. 每个工作功能, OS, 服务器, 应用程序, 或软件包应具有自己的STIG和随附的受保护映像. 制作有效的stig需要全面掌握网络动态, 现有的漏洞, 工作角色, 和工作流. 为特定的工作功能定制不同的stig, 以及相应的技术先决条件, 确保旨在降低风险的健壮的安全措施.
有一些软件应用程序可用于监视与STIG标准的遵从性,并报告发生的问题. 一些STIG软件包是免费的,而另一些则需要订阅. 这些包使网络管理员能够洞察任何偏差,并帮助对stig和强化指南进行遵从性审计.
必须保护加固的映像不受恶意软件或威胁参与者的操纵. 在过去的十年里,已经有很多恢复的图像仍然包含恶意软件的事件.
实施行业最佳实践
组织使用的加固类型取决于预期的风险, 部署技术, 网络安全成熟度优先级.
启动一个强健的硬化程序, 澳门赌场官方下载必须对整个网络进行全面的审计. 审计包括网络发现, 漏洞扫描, 内部和外部渗透测试, 配置管理工具. 一旦记录了安全基线并创建了stig,许多成熟的组织就会部署变更监视工具. 之后, 管理员可以使用公认的行业标准对所有资产进行强化评估.
优先加固
执行评估, 发展斯蒂格, 在任何组织中,强化图像都是冗长而耗时的. 确定优先事项, 澳门赌场官方下载应首先考虑面向互联网的资产, 然后使用业务关键性来确定接下来的步骤. 库存记录应始终包含业务临界水平. 随着关键资产得到保护和stig的建立, 这些实践可以扩展到不那么关键的资产, 并最终, 可以为整个网络制定综合加固方案. 这种全面的方法大大降低了风险,并有助于有效的风险管理.
最佳加固实践
硬化有几个关键的考虑因素. 以下是常见加固实践的一个子集, 但还有许多其他基本配置需要考虑:
- 删除所有不必要的帐户和特权-通过在整个网络基础设施中删除不必要的帐户和访问特权来强制执行最小特权的概念. 这是最小化攻击面和降低风险的最佳方法.
- 操作系统硬化-应用所有操作系统更新, 服务包, 和补丁,同时删除所有不必要的驱动程序, 文件共享, 软件, 服务, and unneeded functionality; encrypt data 在休息的时候 在运动中; secure the system registry and all permissions; ensure robust logging; and tighten user access controls.
- 网络设备加固-确保路由器, 负载平衡器, 开关, 无线网络, 云管理设备, 访问点, 网关, IP语音(VOIP)系统, 防火墙是安全的和配置的,一切都是符合STIG的审计. 加固包括确保每个资产有一个功能, 屏蔽不必要的端口, 删除无关的协议和服务, 并正确加密所有通信. 记得经常更改默认密码并删除不需要的系统帐户.
- 端点硬化-消除所有操作系统上的所有本地管理员权限,包括平板电脑和移动设备. 请确保没有默认密码. 消除所有不必要的软件和阻止任何不必要的工具或通信.
- 服务器硬化理想情况下,服务器应该在连接到网络之前进行加固. 注意不要保留不必要的软件, 服务, or 协议 on 服务器s; to segregate 服务器s appropriately, 并确保所有特权账户和股份都设置妥当, 而且访问权限仅限于最少特权原则和所需的工作功能.
- 应用硬化-删除所有不必要的应用程序,并根据作业功能限制访问. 删除所有默认密码并强制执行多因素身份验证(MFA). 应用程序的加固还应包括与其他应用程序的安装和集成, 和删除, 或减少, 不必要的组件和访问权限.
- 数据库硬化-根据工作功能限制管理员和特权访问. 执行开放全球应用程序安全项目(OWASP)和安全编码评估,并确保所有数据在高级别加密, 在休息的时候, 在运动中.
系统加固的好处
澳门赌场官方下载级别的系统加固不是一个小项目. 这需要时间和勤奋. 然而, 如果处理得当, 它可以降低澳门赌场官方下载的风险,并帮助减少组织的攻击面. 系统加固有几个好处:
- 增强网络安全减少攻击面减少与恶意软件和攻击行为者伤害相关的风险. 它还降低了由于用户错误而导致的数据泄露和错误配置的风险.
- 系统功能—加固澳门赌场官方下载系统,降低用户出错的风险, 配置错误, 威胁行为者妥协.
- 可审核性更容易-通过简化系统的复杂性和最小化攻击面, 组织可以简化审计的信息收集, 从而提高效率并降低复杂性.
在一个威胁不断演变的时代, 即使是很小的减少攻击面或消除漏洞也能带来显著的效果. 有效的网络防御包括数百层, 实现健壮的强化技术和实践是每个人都应该采用的关键一层.
帕特里克·巴内特
是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验,专门从事网络工程,专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO),并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理,并致力于帮助组织制定适当的政策, 程序, 以及响应任何规模的安全事件的机制.