当前,网络威胁形势更加严峻,对企业网络安全运营工作的要求也不断加大。幸运的是,通过落实以下基础性的网络安全运营要求与策略,企业能够快速提升对网络风险的防护能力,同时提前为可能出现的危机做好准备。
1.实施多因素身份认证
多因素身份验证(MFA)技术的出现是因为传统的口令认证方式已经不能满足安全级别较高的系统认证需求,需要通过多个认证方式结合来提高安全性。特别是在“零信任”时代,MFA技术已经成为现代企业组织加强身份安全管理的必修课。
实施多因素身份验证对于增强帐户安全性至关重要,特别是对于具有更高权限、远程访问或高价值资产上使用的帐户。MFA通过要求用户提供两个或多个验证因子以获得对资源(如应用程序、在线帐户或VPN)的访问权限,增加了一层额外的安全性。
但需要注意的是,MFA也并不能阻止所有的身份验证攻击,在很多情况下,MFA解决方案本身也会面临黑客们的攻击。因此,企业应该使用更成熟的技术来构建MFA,并对重置和绕过密码的流程进行严格的管理。
2.整合利用威胁情报
威胁情报(Threat intelligence)是一种提供关于最新网络威胁和攻击信息的数据流,其中涉及漏洞、恶意软件、网络钓鱼以及其他恶意攻击活动。这些数据由安全研究人员、行业监管机构以及专业安全厂商所共同创建,通常采用STIX/TAXII等标准格式,可以与EDR、SIEM、防火墙、威胁情报平台和其他网络安全工具有效集成,从而在较低的预算投入下,为企业安全团队和分析师们提供实时威胁信息。
在当今的互联网时代,网络攻击事件频繁发生,网络威胁也日益增多。在此背景下,如何将威胁情报深度应用到企业的安全防护体系中就显得尤为重要。整合利用威胁情报,组织可以快速应对全球威胁,减少暴露于已知漏洞的风险。这种整合提供了更广泛的威胁分析能力,可以改变游戏规则,从而能够对新出现的威胁进行更强有力的防御。
3.应用威胁感知与隔离
应用威胁感知与隔离是一种通过隔离关键网络和应用服务来增强应用安全性的运营策略方法。落地这种方法需要部署能够识别应用程序级数据威胁,并能采取相应隔离处置措施的防护工具,从而根据相应的法律授权阻止不正当形成的访问流量。
由于不断发展的加密和模糊技术,传统的入侵检测方法已经变得不那么有效,实现应用程序级的威胁感知和防御是企业安全运营工作中必不可少的。它们可以检测并缓解隐藏在公共协议中的恶意操作威胁。
通过实施这种先进的威胁防御机制,组织可以更好地保护其网络免受高级持久性威胁(APT)的影响,并将数据泄露的风险降至最低。
4.充分利用硬件设备自身安全功能
充分利用现代硬件系统自身的安全功能对于保持稳健的网络安全态势也很重要。在目前大多数的硬件设备和系统中,都会配置统一可扩展固件接口(UEFI)安全启动、可信平台模块(TPM)和硬件虚拟化等安全特性,以增强启动过程的完整性并提供系统验证。
这些特性能够保护系统免受可能危及整个基础架构的低级别攻击,因此企业应该通过安排旧设备进行硬件刷新,确保它们正在使用最新的安全性功能。这种方法不仅保护关键数据和用户凭据,而且支持高风险应用程序封堵,使威胁行为者更难利用漏洞。
5.持续威胁暴露管理
持续威胁暴露管理受安全技术与理念发展、安全攻防态势多重影响,成为2024年安全领域的热点主题。它强调采取主动的监控措施,以检测、控制和消除网络中的恶意存在。
该方法超越了日志和安全信息和事件管理(SIEM)产品等被动威胁检测方法,要求企业开启持续化资产、威胁、漏洞管理,进而推动安全验证整合,实现威胁与暴露闭环管理,进一步拉升安全运营的价值。通过持续威胁暴露管理,组织可以从基本检测过渡到实时威胁检测和修复,确保对不断演变的网络威胁具有更强的弹性安全态势。
6.主动管理系统和配置
主动管理系统和配置是保持对组织运营环境安全控制的基本策略。这包括及时清点网络设备和软件应用,删除不必要或违规的硬件和软件应用,并建立安全的应用基准。
通过积极管理设备、应用程序、操作系统和安全配置,组织可以减少攻击面并适应动态威胁环境。这种积极主动的管理要求,能够确保各类网络和应用系统不仅是安全的,而且是可扩展的和高效的,从而更强有力地防御网络威胁。
7.部署灾备恢复计划
灾备体系是信息化当中重要的安全防线,也是解决安全问题的最终保障。数据备份的需求与业务连续性保障需求紧密相关,一方面随着业务越来越依赖信息化导致对系统备份的可靠性要求越来越高,另一方面数据备份将与云化、大数据等新场景相结合也需要向智能化发展。
一个强有力的恢复计划不仅可以减轻中断的影响,而且可以确保利益相关方对组织的复原力。这涉及创建、审查和实施全面的灾难恢复策略,以保护关键数据、配置和日志。而定期测试和评估备份计划能够更好地适应网络环境的变化。
8.实施签名软件应用策略
在企业的安全运营工作种,保障应用系统安全是不能被忽视的一个环节。而实施软件签名技术是一个非常重要的环节。软件签名是一种使用加密算法为软件或数据生成一个“数字签名”的过程。这个数字签名主要用于验证软件的完整性和出处,防止非法软件执行。
软件签名策略可以与安全启动功能相结合,确保只有授权软件才能在企业的网络系统上运行。应用程序白名单可通过只允许执行经过签名的软件来进一步增强控制。这可以防止威胁行为者通过执行恶意代码获得立足点,从而保护网络免受潜在的破坏。
9.特权帐户管理与保护
特权账户往往能够访问到企业中最重要的数据和信息,因此会成为攻击者竞相追逐的目标。为了保障数字化业务的安全开展,组织必须对各种特权账号的使用情况和异常行为进行有效的监控和管理。
组织应根据风险暴露和业务必要性分配特权,采用特权访问管理(PAM)解决方案自动化凭证管理并实施细粒度访问控制。此外,要实施分级管理访问模式,可确保将较高级别的特权限于较少的人员,从而降低证书被盗的风险。
10.自动化补丁管理
做好补丁管理工作是当前最有效的网络安全保障措施之一,却经常被组织所忽视。最新调研数据显示:80%的网络攻击是由未及时修补的已知漏洞所引发的,而有84%的受访公司表示在过去一年中至少遭受过一次网络攻击。由此可见,任何类型的企业组织都应借助先进的补丁管理工具,建立自动化的补丁管理流程,确保操作系统、应用程序和网络设备的补丁及时安装和更新,从而快速修补已知漏洞,减少漏洞被攻击者利用的机会。
原文链接:https://cybermagazine.com/articles/top-10-cybersecurity-strategies