開展年中網絡安全檢查的10項重點任務

當前，加強網絡安全建設已成為企業數字化轉型的重要部分。鑒于網絡威脅不斷變化發展，網絡安全建設工作也需要從管理和技術層面共同推進。因此，網絡安全主管部門有必要定期對組織的網絡信息系統進行安全檢查，全面了解網絡安全工作的責任落實、應用效果和風險態勢情況。通過檢查，組織可以更積極落實網絡安全防護措施，持續做好網絡安全建設工作，切實提高企業職工的網絡安全意識與網絡安全防護能力。

現在適逢年中，很多企業都會在此時開展階段性網絡安全檢查工作。為了取得更好的檢查效果，建議安全檢查活動組織者應優先完成以下十方面的工作：

1檢查第三方的訪問和憑證策略

攻擊者會掃描遠程桌面協議（RDP）訪問權限，并使用憑證填充等暴力攻擊手段，實施攻擊活動。企業應設法更好地管理外部供應商的憑證或訪問權限，因為針對他們的管控流程容易被忽視。無論是將對方列入組織的多因素身份驗證（MFA）計劃中，還是通過訪問和防火墻規則以限制其對特定網絡的訪問，組織都應該根據服務商級別協議和合同中約定的需求，明確對其訪問和憑證的管理要求。用戶憑證在下發和存儲的過程中應當受到保護，在開展網絡安全檢查時需要檢查和審核這些流程是否存在漏洞。

2檢查安全掃描結果

很多組織都會開展安全掃描工作，需要對掃描的結果進行確認，確保它們是從網絡威脅的視角開展的有效掃描活動。組織在雇用滲透測試或第三方網絡風險掃描公司時，要確保對方提供的檢查結果體現了組織網絡的實際范圍。如果安全掃描不能夠提供可操作的實用信息，這樣的工作就會變得毫無價值。

3審查云資源和許可權限

如果組織將業務系統遷移到云端，不能把本地的系統照搬到云端。安全團隊需要審查云上資源是如何創建的，目前設置的系統權限是否合理。同時，企業還需要檢查哪些安全基準或安全指南可以為加強組織的云上安全應用提供額外的保護。

4部署縮小攻擊面的規則

如果組織尚未將縮小攻擊面的規則部署到工作站和服務器以幫助阻止可疑網絡訪問活動，需要盡快將其列為下半年的重點工作目標。組織可以從以下規則入手，啟用盡可能多的阻止規則：

?阻止Office應用程序創建子進程、可執行內容以及代碼注入等活動；

?阻止來自電子郵件客戶軟件和網絡郵箱的可執行內容；

?阻止執行可能被混淆的腳本；

?阻止JavaScript或VBScript啟動下載的可執行內容；

?阻止從USB運行的不受信任、未簽名進程；

?阻止從Windows本地安全子系統（lsass.exe）竊取憑證（權限提升）；

?阻止源自PSExec和WMI命令的進程創建（橫向移動）。

5檢查網絡安全設置和策略

長期以來，企業主動設置的網絡訪問權限規則較少，應該檢查組織如何設置工作站安全配置，進而檢查密碼安全和策略，并考慮將多重身份驗證添加到現有活動目錄中，以更好地識別網絡中的弱密碼。要確保有效開啟利用PIN、面部識別或指紋來快速安全訪問的方式，或啟用其他第三方MFA解決方案，并審查MFA方面的策略選項配置合理。

6檢查計算設備及系統的部署流程

要檢查組織部署和安裝計算設備及系統的流程是否規范，要確保在部署系統時未使用相同的本地管理密碼。一些本地管理員密碼解決方案可隨機生成和加密本地管理員密碼，應檢查用于管理這類解決方案的選項是否正確配置。

7檢查系統備份策略

檢查組織使用什么流程來備份和保護重要文件，包括檢查備份流程，確保擁有多個備份方式，不同備份應放在不同類型的存儲介質上，并至少有一個備份放在異地。組織還應考慮使用云存儲來充當額外備份方式，進一步保護重要文件的安全。

8檢查電子郵件系統安全

面對不斷加劇的郵件詐騙和釣魚攻擊，組織需要過濾和掃描電子郵件，以確保電子郵件在進入員工終端計算設備之前得到安全性檢查和確認。電子郵件中所附的鏈接應在用戶點擊時進行安全掃描，如果發現這些是惡意鏈接，應及時阻斷訪問行為并從員工的收件箱中刪除。

9檢查補丁策略

處理補丁環節時，安全人員應檢查組織的網絡過去曾遇到的問題。如果邊緣設備沒有補丁方面的問題，可以簡化邊緣設備的更新，并賦予其優先更新的權限。對于存在補丁問題的計算設備，要檢查發生問題的原因，以及打補丁行為可能帶來的副作用，并了解需要采取的緩解措施等，盡量減小打補丁帶來的副作用。

10檢查終端設備的勒索軟件防護能力

由于勒索攻擊威脅的加劇，安全人員應確保防病毒和端點檢測解決方案能夠識別勒索軟件攻擊的典型癥狀。當文件備份突然被刪除，或者網絡中出現Cobalt Strike活動以及其他可疑活動時，終端安全解決方案應該在攻擊者開始勒索活動之前，能夠提前發出警報。

文章轉自公眾號：計算機與網絡安全