当前,加强网络安全建设已成为企业数字化转型的重要部分。鉴于网络威胁不断变化发展,网络安全建设工作也需要从管理和技术层面共同推进。因此,网络安全主管部门有必要定期对组织的网络信息系统进行安全检查,全面了解网络安全工作的责任落实、应用效果和风险态势情况。通过检查,组织可以更积极落实网络安全防护措施,持续做好网络安全建设工作,切实提高企业职工的网络安全意识与网络安全防护能力。
现在适逢年中,很多企业都会在此时开展阶段性网络安全检查工作。为了取得更好的检查效果,建议安全检查活动组织者应优先完成以下十方面的工作:
1、检查第三方的访问和凭证策略
攻击者会扫描远程桌面协议(RDP)访问权限,并使用凭证填充等暴力攻击手段,实施攻击活动。企业应设法更好地管理外部供应商的凭证或访问权限,因为针对他们的管控流程容易被忽视。无论是将对方列入组织的多因素身份验证(MFA)计划中,还是通过访问和防火墙规则以限制其对特定网络的访问,组织都应该根据服务商级别协议和合同中约定的需求,明确对其访问和凭证的管理要求。用户凭证在下发和存储的过程中应当受到保护,在开展网络安全检查时需要检查和审核这些流程是否存在漏洞。
2、检查安全扫描结果
很多组织都会开展安全扫描工作,需要对扫描的结果进行确认,确保它们是从网络威胁的视角开展的有效扫描活动。组织在雇用渗透测试或第三方网络风险扫描公司时,要确保对方提供的检查结果体现了组织网络的实际范围。如果安全扫描不能够提供可操作的实用信息,这样的工作就会变得毫无价值。
3、审查云资源和许可权限
如果组织将业务系统迁移到云端,不能把本地的系统照搬到云端。安全团队需要审查云上资源是如何创建的,目前设置的系统权限是否合理。同时,企业还需要检查哪些安全基准或安全指南可以为加强组织的云上安全应用提供额外的保护。
4、部署缩小攻击面的规则
如果组织尚未将缩小攻击面的规则部署到工作站和服务器以帮助阻止可疑网络访问活动,需要尽快将其列为下半年的重点工作目标。组织可以从以下规则入手,启用尽可能多的阻止规则:
•阻止Office应用程序创建子进程、可执行内容以及代码注入等活动。
•阻止来自电子邮件客户软件和网络邮箱的可执行内容。
•阻止执行可能被混淆的脚本。
•阻止JavaScript或VBScript启动下载的可执行内容。
•阻止从USB运行的不受信任、未签名进程。
•阻止从Windows本地安全子系统(lsass.exe)窃取凭证(权限提升)。
•阻止源自PSExec和WMI命令的进程创建(横向移动)。
5、检查网络安全设置和策略
长期以来,企业主动设置的网络访问权限规则较少,应该检查组织如何设置工作站安全配置,进而检查密码安全和策略,并考虑将多重身份验证添加到现有活动目录中,以更好地识别网络中的弱密码。要确保有效开启利用PIN、面部识别或指纹来快速安全访问的方式,或启用其他第三方MFA解决方案,并审查MFA方面的策略选项配置合理。
6、检查计算设备及系统的部署流程
要检查组织部署和安装计算设备及系统的流程是否规范,要确保在部署系统时未使用相同的本地管理密码。一些本地管理员密码解决方案可随机生成和加密本地管理员密码,应检查用于管理这类解决方案的选项是否正确配置。
7、检查系统备份策略
检查组织使用什么流程来备份和保护重要文件,包括检查备份流程,确保拥有多个备份方式,不同备份应放在不同类型的存储介质上,并至少有一个备份放在异地。组织还应考虑使用云存储来充当额外备份方式,进一步保护重要文件的安全。
8、检查电子邮件系统安全
面对不断加剧的邮件诈骗和钓鱼攻击,组织需要过滤和扫描电子邮件,以确保电子邮件在进入员工终端计算设备之前得到安全性检查和确认。电子邮件中所附的链接应在用户点击时进行安全扫描,如果发现这些是恶意链接,应及时阻断访问行为并从员工的收件箱中删除。
9、检查补丁策略
处理补丁环节时,安全人员应检查组织的网络过去曾遇到的问题。如果边缘设备没有补丁方面的问题,可以简化边缘设备的更新,并赋予其优先更新的权限。对于存在补丁问题的计算设备,要检查发生问题的原因,以及打补丁行为可能带来的副作用,并了解需要采取的缓解措施等,尽量减小打补丁带来的副作用。
10、检查终端设备的勒索软件防护能力
由于勒索攻击威胁的加剧,安全人员应确保防病毒和端点检测解决方案能够识别勒索软件攻击的典型症状。当文件备份突然被删除,或者网络中出现Cobalt Strike活动以及其他可疑活动时,终端安全解决方案应该在攻击者开始勒索活动之前,能够提前发出警报。