Sevco最新發布的《2023年企業攻擊面調查報告》分析了超過50萬個IT資產數據,結果顯示,訪問企業網絡服務的大量IT資產缺少必要的保護措施。

報告發現,11%的企業IT資產缺少端點保護,15%的IT資產未被企業補丁管理解決方案覆蓋,31%的IT資產未被企業漏洞管理系統覆蓋。中小企業的情況更糟,未使用托管安全服務的中小企業中,21%的IT資產缺少端點保護。

在當前的網絡安全環境中,企業攻擊面管理(ASM)變得越來越重要。有效的攻擊面管理可以幫助企業識別、評估和減輕潛在的安全風險,確保企業信息資產的安全。

以下是企業進行攻擊面管理的七個最佳實踐:

一、全面了解攻擊面

要建立有效的安全防御,企業必須了解哪些數字資產已經暴露、攻擊者最有可能針對的網絡資產以及需要哪些保護措施。報告顯示,11%的企業IT資產缺少端點保護。因此,提高攻擊面可見性至關重要。要查找的漏洞類型包括較舊且安全性較低的計算機或服務器、未打補丁的系統、過時的應用程序和暴露的物聯網設備。

基于對攻擊面的全面了解,企業可以對事件之前、期間和之后發生的情況進行(預測)建模。對潛在的事件及其風險進行描述,進一步加強主動防御能力。預測內容包括但不限于:企業會遭受什么樣的經濟損失?企業聲譽會受到什么損害?企業會泄露哪些商業情報或機密信息?

SANS新興安全趨勢總監John Pescatore指出:成功的攻擊面映射策略非常簡單:

  • 了解需要保護的內容(準確的資產清單)
  • 監控這些資產中的漏洞
  • 使用威脅情報來了解攻擊者如何攻擊存在這些漏洞的資產

這三個階段都需要具有相應安全技能的熟練員工,以跟上所有三個領域的變化速度。

二、最小化攻擊面

在了解攻擊面后,企業應該采取措施,減少不必要的網絡暴露,限制和控制訪問權限,確保只有經過驗證和授權的用戶才能訪問相關資源。

企業可以采取行動來緩解最重要的漏洞和潛在攻擊媒介帶來的風險,然后再執行較低優先級的任務。

如今大多數網絡安全平臺廠商都提供工具來幫助企業最大限度地縮小攻擊面。例如,微軟的攻擊面縮小(ASR)規則可幫助阻止攻擊者常用的進程和可執行文件。市場中還有大量其他攻擊面發現和管理工具,旨在量化攻擊面、最小化和強化攻擊面。

值得注意的是,大多數據泄露事件都是由人為錯誤造成的。因此,減少漏洞和縮小(人員)攻擊面的另一個重要任務是員工的安全意識培訓。

三、制訂和執行安全策略

企業應該制定一套完整的安全策略,并嚴格執行。這包括網絡安全、身份驗證、數據保護等各個方面,確保企業的安全防護體系健全完善。

循證安全方法和策略將大大有助于縮小攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。以下是一些需要考慮的策略:

  • 通過強大的身份驗證協議和訪問控制加強帳戶管理。
  • 建立一致的修補和更新策略。
  • 維護和測試關鍵數據的備份。
  • 對網絡進行分段,以最大程度地減少發生違規事件造成的損失。
  • 監控并淘汰舊設備、裝置和服務。
  • 盡可能使用加密。
  • 制定BYOD政策和計劃。

四、持續監控和評估機制

企業應該建立持續的監控和評估機制,實時監控網絡活動,及時發現和響應安全事件,定期評估安全策略的有效性,并根據評估結果進行調整優化。

穩固的網絡安全計劃需要隨著IT基礎設施的變化和攻擊者的發展而不斷調整。這需要持續監控和定期測試,后者通常通過第三方滲透測試服務進行。

監控通常通過安全信息和事件管理軟件(SIEM)等自動化系統來完成。它將主機系統和應用程序生成的日志數據收集到網絡和安全設備(例如防火墻和防病毒過濾器)。然后,SIEM軟件對事故和事件進行識別、分類和分析。

滲透測試提供公正的第三方反饋,幫助企業更好地了解漏洞。滲透測試應覆蓋企業網絡以及BYOD和第三方設備供應商正在使用的核心元素。其中,移動設備約占企業數據交互的60%。

五、加強電子郵件安全

電子郵件是攻擊者常用的入侵手段之一,企業應該加強電子郵件的安全防護,例如部署反垃圾郵件和反網絡釣魚的解決方案,提高員工的安全意識和防護能力。一些組織尚未完全部署遏制惡意電子郵件的郵件安全協議,例如:

  • 發件人策略框架(SPF)可防止欺騙合法電子郵件返回地址。
  • 域密鑰識別郵件(DKIM)是一種電子郵件身份驗證方法,它使用數字簽名讓電子郵件的收件人知道該郵件是由域名所有者發送和授權的。
  • DMARC(即基于域的消息身份驗證報告與合規性)構建于DKIM協議以及發件人策略框架(SPF)協議之上,可針對電子郵件欺騙提供更強大的防御層。DMARC確保可見的“發件人”地址與底層IP地址匹配,以防止欺騙。

六、合規性考慮

企業的安全策略和措施應該符合相關的法律法規和標準要求,確保企業在合規的基礎上進行安全防護。

所有組織都應制定政策和流程來研究、識別和理解內部標準和政府標準。目標是確保所有安全策略均符合規定,并對各種攻擊和違規類型有相應的響應計劃。企業還需要成立一個工作組并制訂戰略,以便在新政策和法規生效時進行合規性審查。

盡管合規性對于現代網絡安全策略至關重要,但這并不一定意味著它應該是優先事項。Pescatore表示:“合規性往往是第一位的,但幾乎100%發生信用卡信息泄露事件的公司都符合PCI安全標準,顯然合規并不能確保安全。”他認為網絡安全策略應首先評估風險并部署流程或控制措施來保護公司及其客戶。

七、定期進行安全審計

企業應該定期進行安全審計,通過第三方的評估和檢查,發現和修復安全漏洞和風險,不斷提高企業的安全防護水平。

即使是最優秀的安全團隊在評估企業攻擊面時也需要新的視角。雇用安全審核員和分析師可以幫助發現被忽視的攻擊媒介和漏洞,還可以協助制定事件管理計劃,以處理潛在的泄露和攻擊。太多企業沒有為網絡安全攻擊做好準備,原因是缺乏制衡機制來評估自身的安全政策。

Smart Billions首席技術官杰森·米切爾(Jason Mitchell)表示:“當企業試圖客觀地確定安全風險時,擁有外部、公正的視角可能非常有益。”“使用獨立的監控流程來幫助識別風險行為和威脅,避免它們成為端點上的問題,特別是新的數字資產、新加入的供應商和遠程員工。”

網絡安全 信息安全 安全策略 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接