雖然公司企業(yè)總是希望盡可能快地找出威脅，但理想也總是那么遙不可及。平均來看，駐留時間會持續(xù)數(shù)月，網(wǎng)絡罪犯有充足的時間逡巡網(wǎng)絡，抽取有價值信息，影響公司、客戶以及雇員。

[[182868]]

如果公司沒有實時檢測能力，沒有為這些事件做好準備，那他們就總會處于特別脆弱的狀態(tài)。對工具和策略進行重新評估是個不錯的主意。以下是一些最常見的風險事件和能夠幫助你成功應對的建議：

1. 物聯(lián)網(wǎng)接入

[[182869]]

任何聯(lián)網(wǎng)設備都可成為黑客的切入點，隨著越來越多的公司開始使用物聯(lián)網(wǎng)設備(IoT)，他們需要準備好識別新設備上的潛在攻擊。

正在實現(xiàn)IoT的公司應考慮一下網(wǎng)絡重設計，用強訪問控制將IoT設備與其他內(nèi)部網(wǎng)絡進行隔離?？梢圆渴甬惓z測技術，來給IoT網(wǎng)段和內(nèi)部及外部網(wǎng)絡的正常行為定個基線。該持續(xù)的監(jiān)視將有助于發(fā)現(xiàn)不正常網(wǎng)絡行為。

2. 合作伙伴

[[182870]]

塔吉特百貨的大規(guī)模數(shù)據(jù)泄露，就是黑客通過空調(diào)公司進入網(wǎng)絡的結果。每當公司向新廠商或合作伙伴授予網(wǎng)絡訪問權的時候，他們都應當密切注意不正?；顒?。有那么幾個步驟可以有效做到這一點。

首先，優(yōu)先處理廠商/合作伙伴訪問公司資源的管理和安全，勤于在合同終止時清除訪問授權。另外，將廠商VPN訪問限制在某已知IP段內(nèi)，并在內(nèi)部公布該IP列表。最后，部署分析工具以近實時地檢測來自這些IP地址的異常行為。此外，利用第三方安全風險評級服務(SRS)(《安全領域新概念：安全評級服務的興起》)不失為一個方便快捷的手段。

3. 合并與收購

將兩個之前各自獨立的公司網(wǎng)絡合并起來是個危險的活計。黑客暢游網(wǎng)絡的駐留時間可長達數(shù)月。如果有黑客已經(jīng)侵占了公司A的網(wǎng)絡，通過融合，你也就給了他公司B(及并購后的公司)的鑰匙。

事前準備是規(guī)避此類場景的關鍵。在連接基礎設施之前，對每家公司的基礎設施都做個網(wǎng)絡和安全評估。然后，部署分析工具來對網(wǎng)絡行為定個基準，盡快對合并的網(wǎng)絡進行數(shù)據(jù)記錄以便能監(jiān)視異常行為。

4. 新增物理位置

[[182871]]

無論是新的公司大樓，還是零售門店，或者快餐連鎖，跟著這些新位置而來的基礎設施，都有可能引入新的漏洞。除了添加標準控制，公司面對這種狀況還應該考慮部署分析工具，執(zhí)行“種群分析”，以確定新位置在其網(wǎng)絡和應用日志數(shù)據(jù)中展現(xiàn)的行為，是否異于其他地點的行為。

5. 修復或更新軟件

[[182872]]

復雜環(huán)境中，一個地方的改變，可能會無意地影響到其他某個地方。很多案例都顯示，這可能產(chǎn)生新的漏洞，為黑客開啟方便之門。

成功修復或更新，歸根結底是使用良好的IT規(guī)程。比如說，確保跟IT安全團隊溝通計劃好的升級。然后，定義升級后勤勉期，在此期間對安全日志進行額外的詳細審查。

6. 引入新硬件

[[182873]]

這可能包含任何硬件，從服務器到新的移動設備。每當向網(wǎng)絡中引入新硬件時，你都會遇到很多之前不知道的東西。而未知之物，就有可能傷害到你。

確保新服務器上運行的所有軟件都打了補丁，是個不錯的實踐。檢查與該硬件或軟件相關的每個已知漏洞。與軟件升級最佳實踐類似，要跟IT安全團隊溝通計劃硬件升級事宜。然后，創(chuàng)建升級后勤勉期，對安全日志進行額外的詳細審查——推薦使用自動化分析工具。

7. 員工入職

[[182874]]

很多公司都會在同一時段迎入新人，比如說，在他們招聘并培訓了新的大學畢業(yè)生的時候。這種情況下，他們就是在往公司網(wǎng)絡中引入帶有獨特新行為的大量新用戶，可能還有新設備。這些新用戶增加了被黑或數(shù)據(jù)被泄的機會(無論有意還是無意地)。

面對該成長期的第一步，是強調(diào)公司策略和良好IT安全實踐。確保定期強化這些策略和實踐。然后，考慮部署用戶行為分析(UBA)來為新用戶建模，將他們的風險與公司其他員工組做對比。

8. 員工離職

[[182875]]

裁員、倒閉或辭職之類的事件——尤其是在非自愿的時候，可能會引發(fā)亂流，增加出自熟知公司數(shù)據(jù)、網(wǎng)絡和應用的員工之手的惡意行為發(fā)生機會。

這些敏感時段中，企業(yè)應強調(diào)身份及訪問管理(IAM)。應勤于清除對所有資源的訪問權，無論是公司內(nèi)的，還是云端的。最后，定義更新后的勤勉期，使用自動化異常檢測來執(zhí)行對安全日志的額外審查。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文