真正保护网络基础设施是企业为保护自身免受威胁而做出的最关键选择之一。防火墙规则、补丁管理和事件响应程序等技术和工具有助于保护敏感数据和应用程序。此过程因业务而异,但有一个 13 步骤的过程,从评估网络到随着时间的推移提高安全性,适用于许多组织。
单击此图像可以下载详细的网络保护清单,供您的安全和网络团队使用。
1.评估网络
在实施任何网络安全实践或程序之前,您首先需要了解网络的当前状态,包括现有的访问控制、防火墙及其规则的状态以及当前的漏洞管理程序。
审计所有访问控制
完成对当前访问控制的审核,包括用户名、密码、密码以及您当前设置的任何多因素身份验证。要审核所有访问控制,请检查每个需要登录凭据或权限的应用程序或系统并记录它们,包括它们是否受密码管理器保护。还要查看您当前的密码要求;它们是否强迫员工设置难以猜测的密码?
检查任何现有的防火墙和防火墙规则
盘点所有现有网络防火墙和当前规则。导航到防火墙的管理面板,找到规则列表,并查找任何无用或不一致的规则。也许一条规则与另一条规则相矛盾,或者一条旧规则违反了企业的新安全政策。这也是执行初始防火墙审核的好时机;它将揭示防火墙无法正常工作的方式,或者规则是否不再符合企业政策。
记录漏洞管理实践
在彻底改造网络安全基础设施之前,请记录所有现有的漏洞管理工具或程序。有哪些不起作用,哪些可以更改?此外,确定安全团队是否可以轻松找到漏洞并缓解漏洞,或者到目前为止这对他们来说是否是一个具有挑战性的过程。甚至可以向他们发送一份调查问卷,其中包含一些有关漏洞管理和缓解过程的问题。
2. 识别安全漏洞和弱点
识别漏洞与评估网络密切相关,因此可能最终会同时执行这些步骤。要查找企业安全漏洞,可以实施漏洞扫描和渗透测试等策略。
执行漏洞扫描
测试网络架构,以便了解问题所在。流量测试或漏洞扫描可在黑客利用之前发现错误配置、未应用或错误应用的加密、弱密码和其他常见问题。还可以使用漏洞扫描来检测松散的加密密钥管理。虽然可以手动扫描漏洞,但建议使用效率更高的软件。
渗透测试
漏洞扫描可能会检测到常见的弱点,但主动渗透测试可以确定漏洞是否构成真正的风险或可以通过其他控制措施缓解。渗透测试还可以确定现有控制措施是否足以阻止攻击者。可以使用工具进行渗透测试,但如果聘请外部专家,可能会得到更准确的结果。与安全团队负责人讨论聘请渗透测试员的可能性。
3. 实施访问控制
成功的安全措施包括限制对网络资源(如硬件和管理软件)的访问。根据员工在特定时间需要访问哪些资源,对每种资源实施适当的访问控制。这些措施包括难以猜测的密码、Active Directory集成、多因素身份验证、最小特权访问策略以及对云平台的访问。
创建强大的凭证
增加密码强度要求以增加复杂性,或强制所有员工登录凭据更频繁地轮换密码。密码管理器可帮助用户满足更严格的要求,并可实现集中控制。企业还可以采用单点登录(SSO) 技术来简化对云资源的访问。
如果需要,使用 Active Directory
规模最小的组织可能只担心设备访问,也就是登录凭据 — 用户名和密码。但随着组织的发展,使用Active Directory (AD) 或等效的轻量级目录访问协议(LDAP) 工具进行正式化和集中化控制可节省业务时间并加快对变更请求的响应速度。实施 AD 或 LDAP 需要时间,但对于大型组织来说很有价值。
实施多因素身份验证
随着公司规模和声誉的提高,凭证被盗的潜在损失也会随之增加,因此成长中的组织面临的泄露风险也随之增加。为了降低这种风险,许多组织采用多因素身份验证来提供比 2FA 更高的安全性,尤其是当应用程序或令牌取代易受攻击的短信文本时。生物识别和无密码解决方案可能更昂贵,但难以伪造。
使用最小特权访问原则
实施最低权限访问策略意味着网络和安全团队仅在员工绝对需要系统来完成工作时才允许他们访问系统。过去,员工只有在“万一”需要时才可以访问。但这会进一步为威胁行为者和潜在的内部威胁打开大门。确保只有需要访问应用程序的员工才能访问,并且他们根据自己的角色获得管理或只读访问权限。
管理对云资源的访问
现在,即使是规模较小的组织也使用云资源,但大多数内部网络控制不会扩展到网络外部托管的资源,例如Office 365、Google Docs或隔离的分支机构网络。云访问安全代理(CASB) 和安全浏览器应用程序可以提供整合的解决方案来保护云中的用户。
确保云账户上的每个用户都具有适当的权限,无论他们是管理员还是只能查看文档。还要检查所有云实例是否都暴露在互联网上。
4. 设置防火墙
防火墙实施过程将根据你的网络是否已安装防火墙而有所不同,但你仍然可以将其用作尚未完成的项目的清单。按照此一般流程安装防火墙、创建规则和区域,并随时间测试和管理防火墙。
选择正确的防火墙类型
如果企业尚未安装防火墙,则需要选择一款适合您网络的防火墙。小型企业可能需要相对较小的设备,而大型企业可能需要来自领先网络供应商之一的下一代防火墙。如果企业目前没有资源或人员来支持内部防火墙,也可以考虑将防火墙作为一项服务。
保护防火墙
为了使防火墙正常工作,需要创建特定规则来指定防火墙接受和阻止哪些流量。这将根据您的业务需求而有所不同;可以根据防火墙后面的应用程序和数据自定义规则列表,使其限制更多或更少。为入站和出站流量实施规则,以限制进入网络的流量和离开网络的数据。
创建防火墙区域和 IP 地址
现在将防火墙划分为需要分离的区域,并为每个区域分配必要的接口。然后为防火墙资源和服务器指定适当的 IP 地址(如果它们尚未指定)。
制定访问控制列表
访问控制列表( ACL) 决定哪些资源或用户可以访问网络。管理员可以为整个网络或某些子网指定一个列表。结合防火墙规则创建访问控制列表,以便列表中的任何内容都不会相互矛盾;在制定接受或丢弃数据包的规则时,最好将它们并列在一起。
测试配置
确保所有网络配置都正常工作。如果阻止来自某个网站的流量,请确保防火墙不允许该流量通过。还要测试规则,尤其是黑名单和白名单;可以通过连接到网络并尝试加载被阻止的网站来做到这一点。如果它仍然加载,则您的黑名单不起作用。
随着时间的推移管理防火墙
防火墙需要定期检查和重新配置。您还需要团队成员负责处理定期的防火墙维护和保养,包括更新规则以适应不断变化的业务政策。为团队成员分配特定的防火墙管理任务,并创建审核防火墙规则的时间表。使用清晰、直接的文档,确保团队中的每个人都知道如何维护防火墙。
5.加密数据传输
加密可以直接保护整个 IT 基础架构中的资产。可以使用全盘加密保护端点,使用设置保护数据库,使用文件或文件夹加密保护关键文件。
加密端点
加密终端的整个硬盘或 SSD 可保护整个设备。此外,Windows 等操作系统提供更改设置的选项,并要求与特定资产或整个网络建立加密连接。可以更改其他设置,以防止传输或存储纯文本密码,并确保存储加盐密码哈希值。
加密数据库
您可以按整个应用程序、按列或通过数据库引擎加密数据库。不同的加密实现将影响在数据库中查询数据的速度,因此在加密任何内容之前请考虑到这一点。
加密文件或文件夹
可以在单个文件级别或文件夹级别加密数据。文件级加密通常需要更多时间,并且允许加密单个文件并选择不加密其他文件(如果需要)。文件夹级加密一次保护整个文件夹的数据,这在需要一次保护整个文件夹的静态数据时非常有用。
6. 逻辑地划分网络
不断发展的组织需要允许不同类型的访问,但不应允许所有人访问网络中的所有内容。网络分段可以为访客创建网络,为不安全的设备创建隔离网络,甚至可以为易受攻击的 IoT、OT 和已知过时的技术创建单独的网络。使用虚拟 LAN 创建子网,并实施零信任策略,以便用户不会获得不必要的访问权限。
设置虚拟局域网
虚拟局域网(VLAN) 在单个硬件上对网络进行分区,并允许团队将网络划分为较小的子网。它们很有用,因为它们使网络管理流程更加简单,并且由于并非所有流量都流向同一个地方,因此可以提供额外的安全性。可以根据自己的安全需求,将不同类型的流量指定到不同的子网。
创建子网
网络分段应根据业务路由流量的方式进行。例如,如果两个子网或子网在较大的网络上相邻,则如果一个子网正在处理外部流量,而其相邻的子网上有敏感数据,则应在它们之间设置防火墙。它还有助于将类似的技术资源分组到同一个子网上,以实现更合理的路由。
考虑零信任
建议为整个网络基础设施实施零信任框架。零信任与网络分段相结合,要求用户证明他们有权访问网络上的每个单独资源。零信任框架使用“永不信任,始终验证”的概念。网络上的用户必须验证他们使用应用程序或登录某个系统的权利,而不是仅仅因为他们通过了防火墙就可以访问所有内容。
7.设置入侵检测和预防系统
入侵检测和防御系统 (IDPS) 是网络安全的核心功能之一。需要了解哪些信息进入网络、哪些信息离开网络,以及组成网络的硬件和软件中是否存在任何明显的漏洞。入侵检测和入侵防御可以独立运行,但它们通常会组合在安全套件中。
配置入侵检测系统
入侵检测系统 (IDS) 主要负责识别漏洞和攻击者。当系统中检测到恶意软件、陌生用户登录软件或互联网流量意外压垮服务器时,它们会向网络管理员发出警报。它们对于检测恶意行为很有用,但它们通常无法自行解决安全问题。
配置入侵防御系统
入侵防御系统不仅能监测漏洞和攻击,还能修复漏洞和攻击。这包括标准补救措施,例如阻止流量或根除恶意软件。入侵检测和防御结合在一起时往往最有效,因此您可以在一个平台上识别问题并修复它们。
8. 创建资产发现政策
未经授权的设备可以通过攻击(例如将未经授权的计算机连接到网络或部署数据包嗅探器来拦截网络流量)拦截或重定向网络流量。同样,伪造的域名系统(DNS) 地址可以将用户从合法连接重定向到危险网站。为了保护网络,请根据需要阻止或隔离资产,始终扫描资产,并禁用不需要的任何网络功能。
阻止或隔离设备
网络访问控制 (NAC) 解决方案可测试端点上过时或易受攻击的软件,并将设备重定向至隔离区,直至修复完成。未经授权的设备可能会被阻止或隔离。可以通过向防火墙和服务器添加MAC地址过滤或白名单来实现一些NAC功能,但维护白名单可能非常耗时。
持续扫描资产
IT 资产管理(ITAM) 工具可以扫描连接到网络的设备并发送警报或阻止未注册的设备。组织需要验证他们试图检测的资产类型。某些应用程序、云基础设施、网络设备或物联网 (IoT) 设备可能需要更复杂的 ITAM 或其他工具来检测它们。
禁用不需要的功能
防火墙中任何未使用的访问端口、不需要的远程访问(存储、打印机、路由器等)和类似功能通常都不受监控。黑客会试图找到并利用这些机会。如果不需要,最好直接禁用它们。因此,组织还应在设置完成后禁用通用即插即用 (UPnP) 功能,因为黑客已经找到了使用自动化功能加载恶意软件的方法。
9. 制定补丁管理程序
保护网络硬件和软件需要安全团队不断更新其产品至最新版本。此过程包括尽快打补丁、创建补丁分配以及密切关注供应商的安全公告。
立即修补
企业修补硬件和软件的速度越快,威胁者利用其中漏洞的时间就越少。如果企业发现修补资源的时间有限,请调整流程和任务,使修补成为更高的优先级。如果实施具有内置补丁管理功能的安全平台您将收到有关补丁的提醒,这将帮助团队更快地修复漏洞。
分配补丁管理角色
为所有网络资源制定标准版本更新的修补计划。修补计划包括为团队成员分配角色,以便每个人都知道谁负责更新每个设备和软件版本。我建议创建一份简单的文档,明确列出谁负责修补每个硬件和软件,以及应该更新的日期和时间。
监控漏洞新闻和发布
强大的补丁管理策略的一部分是通过监控供应商的漏洞信息和全球行业新闻来主动解决安全问题。每周都会出现新的漏洞,它们通常出现在网络设备和操作系统中。越快意识到问题,就能越早修补它们并避免零日漏洞或类似攻击。
10. 监控和记录网络
可能不会立即将网络流量识别为恶意流量,但使用安全信息和事件管理(SIEM)、安全运营中心(SOC)、托管检测和响应(MDR) 或类似团队对其进行监控可能会检测到异常行为。这些团队还可以响应警报并补救逃避自动响应的攻击。如果您想进一步分析网络上的异常行为,沙盒也是一个选择。
指定监测资源和团队
网络安全行业有大量监控网络的产品和服务,如果您的业务领导者对选择哪种产品和服务感到不知所措,请仔细查看每种产品和服务的功能:
SIEM:专注于聚合企业数据和日志,通常需要大量的监控和管理。
SOC:通过公司内部或外部的分析师和安全人员团队管理日常安全运营。
端点检测和响应 (EDR):专门查找并减轻端点设备上的安全威胁。
MDR:提供托管检测和响应服务,以便您的企业可以受益于外部分析师的技术和见解。
响应警报
响应安全警报是工作,也是运营中心或托管服务提供商的工作。无论谁来做这件事,都需要明确指定哪个团队成员负责警报分类过程的哪个部分。这可以提高响应能力,并增加您的安全团队更有效地处理威胁的机会。
使用沙盒
如果在网络上发现恶意软件并想了解更多有关其模式的信息,请考虑使用沙盒产品。这些产品可帮助团队在安全、受控的环境中观察恶意程序的工作方式。它们通常包含在更大的安全套件中,例如托管检测和响应解决方案,但也可以单独购买它们。
11.制定事件响应计划
无论安全团队规模多小,企业始终需要事件响应计划来了解如何处理安全事件。事件响应计划应按顺序清晰列出团队应采取的每个步骤以减轻威胁。事件响应计划的一些最常见特征包括定制、灵活的结构和适当的警报方法。
为多种情况创建可定制的计划
可能需要不止一次迭代事件响应计划,而不仅仅是适用于每种情况的单个步骤列表。创建一个通用模板,然后制定几个不同的、更具体的计划,通常是为不同类型的安全事件定制事件响应计划的好策略。响应将根据漏洞或攻击而有所不同,每个漏洞或攻击的具体计划也各不相同。
当流程需要改变时要灵活
虽然事件响应计划确实需要有序的步骤,但它们也需要留出一些回旋余地,以防某个流程在最后一刻需要更改。这可能看起来像是列出几个额外的团队成员来接替某个步骤的负责人休假或生病,或者为安全威胁提供一些不同的缓解选项,以防某个选项不起作用。
制定合理的警报程序
安全团队必须筛选大量信息,但并非所有警报都是准确的。制定程序来分类警报,并将误报与真正需要调查的问题区分开来。自动化在这里很有用——如果事件响应团队拥有准确的软件来告诉他们要优先处理哪些警报,将节省一些工作。
12. 对员工进行网络安全实践培训
用户仍然是最常见的安全漏洞来源之一,因为每个人都会犯错,而且大多数员工都不是安全专家。员工培训和渗透测试是企业用来让员工及时了解威胁的两种主要策略,但团队内部的日常对话在保护公司方面也发挥着关键作用。
对团队进行安全基础知识培训
面向企业和中小型企业的网络安全培训课程提供了基本指导,使员工能够为整个组织提供更好的安全实践。它们重点介绍了网络钓鱼攻击、恶意软件、不安全的密码实践以及受感染的硬件(如 USB 驱动器)等问题。它们还降低了网络攻击让员工措手不及的可能性。
执行渗透测试
在渗透测试场景中,内部或外部黑客会试图侵入企业网络并找到其中的漏洞。但一些渗透测试策略还可能包括社会工程,从而暴露出员工需要接受培训的地方。注意不要诋毁犯错的员工,并鼓励组织内进行最透明的讨论。
定期交谈
不要低估频繁讨论网络安全的重要性。员工(尤其是领导者)与团队成员讨论威胁和漏洞的次数越多,就越有准备处理这些问题。讨论安全性还可以阻止员工做出不明智的决定。
13.不断完善网络
任何安全措施都不是万无一失的。漏洞、错误配置、失误和熟练的攻击者都可能造成网络和其他安全漏洞。即使是最强大的安全堆栈和最有弹性的网络,如果没有维护也会崩溃。更新软件和默认凭据、禁用过时的协议以及执行定期网络安全审核将有助于您的组织始终掌握网络改进的前沿。
自动更新系统
通常,可以设置本地网络路由器、防火墙和其他设备自动下载新更新,这样设备和固件就不会受到攻击。但是,请注意,更新期间断电(或更新有缺陷)可能会导致设备故障。
更改默认凭证
路由器和其他设备通常带有公开的默认设置和名称,但这些却为黑客敞开了大门。网络管理员应更改默认路由器密码,以防止未经授权的访问。美国联邦贸易委员会 (FTC) 提供了更广泛的建议,以确保家庭 Wi-Fi 网络的安全,并为办公室和消费者提供了其他提示。
不要使用过时的协议
IT 设备具有向后兼容性,但这可能会带来问题,因为其中包括对过时且危险的选项的支持。我建议在整个生态系统中禁用不安全的协议和端口(如FTP或SMBv1),以防止将来出现漏洞。使用网络管理控制台禁用您不希望网络再允许的任何过时协议。
审计网络
定期对整个网络进行审核,以便不断发现漏洞和弱点。审核应涵盖硬件和软件,因此您的交换机、路由器、操作系统、计算机和服务器都经过测试和审查,以确保安全性和性能。
综述:确保网络安全是一个持续的过程
网络是用户及其计算机与他们需要访问的资产之间的桥梁。网络安全保护着这座桥梁,但为了确保安全,桥梁的每一端也必须受到用户、应用程序、数据和资产的安全保护。安全策略的每个组成部分都加强并保护整个组织免受任何特定组件故障的影响。
IT安全团队不仅需要了解当前和未来的需求,还必须清楚地向非技术利益相关者传达这些需求,以获得预算和其他支持。
