在當今的數字時代,公司越來越依賴技術和在線系統來開展業務。因此,滿足網路清潔的最低標準對於防範網路威脅、最大限度地降低風險和確保業務的持續能力至關重要。
基本的安全性檢疫仍可防範 98% 的攻擊。1
基本的網路清潔可防止 99% 的攻擊
每個組織都應該採用的最低標準:
- 要求防網路釣魚的多重要素驗證 (MFA)
- 套用零信任準則
- 使用新式反惡意軟體
- 使系統保持最新狀態
- 保護資料
想要減少對您的帳戶的攻擊? 開啟 MFA。顧名思義,多重要素驗證需要兩個或多個驗證因素。破壞多個身份驗證因數會給攻擊者帶來重大挑戰,因為知道(或破解)密碼不足以存取系統。啟用 MFA 後,您可以阻止 99.9% 的賬戶攻擊。2
讓 MFA 變得容易得多
多重身份驗證 - 正如其名,雖然額外步驟是不可或缺的,但應嘗試為員工選擇摩擦最小的 MFA 選項(例如在裝置中使用生物識別技術或符合 FIDO2 規範的因素,例如 Feitan 或 Yubico 安全性金鑰)。
避免使 MFA 變得繁重。
當額外的身份驗證可以幫助保護敏感性資料和關鍵系統,而不是將其應用於每個互動時,請選擇 MFA。
MFA 對終端使用者來說不一定具有挑戰性。使用條件式存取策略,該策略允許根據風險偵測觸發雙重驗證,以及傳遞驗證和單一登入 (SSO)。這樣,當終端使用者的裝置具有最新的軟體更新時,就不必忍受多個登錄序列來訪問企業網路上的非關鍵檔案共用或行事曆。使用者也不會有 90 天的密碼重設,這將顯著改善他們的體驗。
常見網路釣魚攻擊
在網路釣魚攻擊中,犯罪分子使用社交工程策略誘騙使用者提供存取登入資訊或洩露敏感性資訊。常見網路釣魚攻擊:
如果您想了解有關密碼和身分識別主題的詳細資訊,請查看下面的 Microsoft 資源。
- CISO 系列:使用 Microsoft 的 Mark Simos 的階段藍圖部落格文章保護您的權限管理帳戶
零信任準則是限制對組織產生影響的任何復原力計劃的基石。 零信任模型 是一種跨數位資產所有層面的主動集成安全方法,可顯且持續地驗證每筆交易;主張最低權限存取;並依賴於情報、高級檢測和對威脅的實時回應。
採用零信任方法后,您可以:
- 支援遠端和混合式工作
- 幫助防止或減少安全性缺口造成的商務損失
- 識別並幫助保護敏感的業務數據和身份
- 在領導團隊、員工、合作夥伴、利益相關者和客戶中建立對安全性態勢和程式的信心
零信任準則:
- 假設存在缺口 假設攻擊者可以並且將會成功攻擊任何內容(身分識別、網路、設備、應用、基礎結構等),並做出相應的計劃。這代表需要持續監視環境以防範可能受到的攻擊。
- 明確地驗證 在允許存取資源之前,確保使用者和裝置處於良好狀態。通過顯式驗證所有信任和安全性決策都使用相關的可用資訊和遙測數據這一事實,保護資產免受攻擊者控制。
- 使用最低權限存取權 通過即時和恰到好處的存取 (JIT/JEA) 和基於風險的策略(如自適應存取控制)限制對潛在受損資產的存取。您只應允許訪問資源所需的使用權限,而不應允許其他使用權限。
零信任安全層
安全性過多
過多的安全性(即對日常使用者來說過於嚴格的安全性)可能會導致與一開始就缺少足夠安全性相同的結果,即更大的風險。
嚴格的安全性流程會使人們難以完成工作。更糟糕的是,它們可以激勵人們找到創造性的陰影 IT 式解決方法,激勵他們完全繞過安全性,時而使用他們自己的設備、電子郵件和存儲,並使用(具有諷刺意味的是)安全性較低且對商務構成更高風險的系統。
如果您想了解有關零信任主題的詳細資訊,請查看下面的資源。
- Microsoft 的 Vasu Jakkal 部落格文章為您的商務採用零信任安全性策略的 5 個理由
使用延伸偵測及回應反惡意程式碼。實施軟體以偵測並自動封鎖攻擊,然後提供安全性作業的深入解析。
監控來自威脅偵測系統的深入解析,對於能夠及時回應威脅至關重要。
安全性自動化和協調流程最佳做法
將盡可能多的工作轉移到您的偵測器上
選擇並部署感應器,以便在將其發現發送給分析師之前自動執行、關聯和相互連結。
自動化警示收集
安全性作業分析師應具備對警示進行分類和回應所需的一切,而無需執行任何其他資訊集合,例如查詢可能處於離線狀態或未處於離線狀態的系統,或者從其他來源(如資產管理系統或網路裝置)收集資訊。
威脅警示的優先順序
應利用即時分析,根據威脅情報源、資產資訊和攻擊指標確定事件的優先順序。分析師和事件回應程式應專注於最高警示。
自訂工作和流程
首先針對常見、重複和耗時的管理流程,並標準化回應程式。標準化回應后,自動執行安全性作業分析師工作流,以盡可能消除任何人為干預,以便他們可以專注於更危急的工作。
持續改進
監視關鍵指標並調整感應器和工作流程,以推動增量變化。
幫助防護、偵測及回應威脅
通過利用全面的預防、檢測和回應功能以及集成的擴展檢測和回應 (XDR)、安全資訊和事件管理 (SIEM) 功能,抵禦所有工作負載中的威脅。
遠端存取
攻擊者經常以遠端存取解決方案(RDP、VDI、VPN 等)為目標,進入環境並運行持續作業以破壞內部資源。
為了協助防止攻擊者進入,您需要:
- 維護軟體和設備更新
- 強制實施零信任使用者和裝置驗證
- 為第三方 VPN 解決方案配置安全性
- 發佈內部部署 Web 應用程式
電子郵件與共同作業軟體
進入環境的另一種常見策略是通過電子郵件或資料共用工具傳輸惡意內容,然後說服使用者運行它。
為了協助防止攻擊者進入,您需要:
- 實作進階電子郵件安全性
- 啟用受攻擊面縮小規則以封鎖常見的攻擊技術
- 掃描附件以查找基於宏的威脅
端點
Internet 公開的端點是最受歡迎的入口向量,因為它們為攻擊者提供對組織資產的存取權限。
為了協助防止攻擊者進入,您需要:
- 使用針對某些軟體行為的受攻擊面縮小規則阻止已知威脅,例如啟動嘗試下載或運行檔的可執行檔和腳本、運行混淆或其他可疑腳本,或執行應用通常不會在正常日常工作中啟動的行為。
- 維護您的軟體,使其得到更新和支援
- 隔離、禁用或停用不安全的系統和通訊協定
- 使用基於主機的防火牆和網路防禦來封鎖意外流量
時刻保持警惕
使用集成的 XDR 和 SIEM 提供高品質的警示,並最大限度地減少回應過程中的摩擦和手動步驟。
對舊版系統進行淘汰
缺乏防病毒和端點檢測與回應 (EDR) 解決方案等安全性控制的舊版系統可能允許攻擊者從單一系統執行整個勒索軟體和外洩攻擊鏈結。
如果無法將安全工具配置到舊版系統,則必須在物理上(通過防火牆)或邏輯上(通過刪除與其他系統的憑據重疊)隔離系統。
請勿忽視商品惡意軟體
傳統的自動勒索軟體可能缺乏動手鍵盤攻擊的複雜性,但這並沒有降低其危險性。
當心敵人禁用安全性
監視環境中是否有敵人禁用安全性(通常是攻擊鏈的一部分),例如事件記錄清除(尤其是安全事件日誌和 PowerShell 作業記錄)以及禁用安全工具和控件(與某些群組關聯)。
如果您想了解有關反惡意軟體的詳細資訊,請查看下面的 Microsoft 資源。
- Microsoft 的 Jonathan Trull 的部落格文章Microsoft 安全性作業中心的 4 條原則
- Microsoft 的 Jonathan Trull 撰寫的部落格文章自動化安全操作的 5 大最佳做法
未修補且過時的系統是許多組織淪為攻擊受害者的主要原因。確保所有系統都保持在最新狀態,包括韌體、作業系統和應用程式。
最佳做法
- 透過套用修補檔、變更預設密碼和預設 SSH 連接埠,來確保裝置安全無虞。
- 透過減少非必要的網路連線和開放連接埠、封鎖連接埠來限制遠端存取、拒絕遠端存取,以及使用 VPN 服務等,來減少受攻擊面。
- 使用 IoT/OT 感知的網路偵測及回應 (NDR) 解決方案、安全性資訊與事件管理 (SIEM)/安全性協調流程及回應 (SOAR) 解決方案,來監控裝置是否存在異常或未經授權的行為,例如與陌生主機的通訊。
- 區隔網路以限制攻擊者初步入侵後橫向移動與損害資產的能力。IoT 裝置和 OT 網路應使用防火牆獨立於企業 IT 網路。
- 確保 ICS 通訊協定不直接暴露在網路上
- 深入探討您網路上的 IoT/OT 裝置,並在遭入侵時依據企業面臨的風險排定優先順序。
- 使用韌體掃描工具了解潛在的安全性漏洞,並與廠商合作來確定如何降低高風險裝置的風險。
- 要求廠商採用安全發展生命週期最佳做法,來積極影響 IoT/OT 裝置的安全性。
- 避免透過不安全的管道向非必要人員傳送包含系統定義的檔案。
- 若無法避免傳送此類檔案,請務必監控網路活動並確保資產安全。
- 使用 EDR 解決方案進行監控來保護工程站。
- 主動執行 OT 網路事件回應。
- 使用適用於 IoT 的 Microsoft Defender 等解決方案部署持續監視。
如果您想深入了解,請查看下面的 Microsoft 資源
- Microsoft 的 Alan Johnstone 和 Patrick Strijkers 的部落格文章強化環境以防缺口的 7 種方法
- 通過了解網路安全性風險來增強復原性:第 4 部分 - 導航當前威脅Microsoft 的 Mark Simos 和 Sarah Armstrong-Smith 的部落格文章
了解哪些是您的重要資料、其所在位置以及是否實施適當的系統,這對於實施合適的保護非常重要。
資料安全挑戰包括:
- 降低和管理使用者錯誤的風險
- 大規模手動使用者分類是不切實際的
- 數據必須在網路外部受到保護
- 合規性和安全性需要完整的策略
- 滿足日益嚴格的合規性要求
縱深防禦數據安全性方法的 5 大支柱
當今的混合式工作區需要從世界各地的多個裝置、應用和服務訪問資料。面對如此多的平臺和存取點,您必須擁有強大的保護措施,防止數據被盜和洩漏。對於當今的環境,縱深防禦方法可提供最佳保護,以增強資料安全性。此策略有五個組成部分,所有這些組成部分都可以按照適合您組織的獨特需求和可能的法規要求的任何順序制定。
- 確定數據環境
在保護敏感性資料之前,您需要了解其位置以及如何予以訪問。這需要全面了解整個資料資產,無論是本地、混合雲還是多雲。 - 保護敏感性資料 除了創建整體地圖外,您還需要保護靜態和傳輸中的資料。這就是準確標記和分類資料的用武之地,以便您可以深入了解資料是如何被訪問、存儲和共用的。準確跟蹤資料將有助於防止資料成為洩漏和缺口的犧牲品。
- 管理風險 即使對資料進行了適當的映射和標記,也需要考慮可能導致潛在數據安全性事件(包括內部威脅)的資料和活動周圍的使用者內容。解決內部風險的最佳方法將合適的人員、流程、培訓和工具整合。
- 防止資料外洩 不要忘記未經授權使用數據 - 這也是損失。有效的數據丟失保護解決方案需要平衡保護和生產力。確保適當的存取控制到位,並設置策略以幫助防止不正確地保存、存儲或列印敏感資料等,這些動作至關重要。
- 管理資料生命週期 隨著資料控管移位,業務團隊成為自己資料的管理者,組織必須在整個商務中建立統一的方法。這種主動的生命週期管理可以提高資料安全性,並有助於確保對使用者負責任地實現資料民主化,從而推動商務價值。
如果您想深入了解保護資源,請查看下面的 Microsoft 資源。
- Microsoft 安全性團隊的部落格文章構建資訊保護計劃的 3 種策略
- Microsoft 的 Erica Toelle 和 Anna Chiang 的部落格文章啟動有效數據治理計劃的 3 種策略
儘管威脅執行者不斷演化並變得更加複雜,但網路安全的一個真理值得重複:基本的網路安全清潔 - 啟用 MFA、應用零信任準則、保持最新狀態、使用現代反惡意軟體和保護資料 - 可防止 98% 的攻擊。
因此,滿足網路清潔的最低標準對於防範網路威脅、最大限度地降低風險和確保業務的持續能力至關重要。
關注 Microsoft 安全性