如果沒如果沒有強大的網(wǎng)絡(luò)安全策略，企業(yè)將無法實現(xiàn)IT安全。

美國國家安全局(NSA)已確定構(gòu)成良好IT安全系統(tǒng)的三個基本功能。根據(jù)NSA的介紹，這些功能至關(guān)重要，可防止93%的網(wǎng)絡(luò)事件。而NetCraftsmen確定了另外四個步驟，這些步驟與NSA的三個步驟相結(jié)合，可為構(gòu)建全面的安全系統(tǒng)奠定堅實的基礎(chǔ)。

[[382732]]

一、NSA的安全步驟

步驟1.多因素身份驗證

企業(yè)應(yīng)該部署多因素身份驗證，例如雙因素身份驗證(2FA)，而不只是使用密碼。2FA依靠用戶知道的東西(密碼)和他們擁有的東西(物理設(shè)備，例如安全令牌生成器或電話)。其他機制還依靠生物識別等因素。

短信驗證已成為2FA的流行機制。在登錄期間，通過短信或電話將安全代碼發(fā)送到手機。用戶輸入安全代碼以完成登錄驗證。如果攻擊者接管手機賬戶或號碼，這種類型的驗證可能受到攻擊，因此不適合高度安全的帳戶。

步驟2.基于角色的訪問控制

部署基于角色的訪問控制，僅當(dāng)某個人的職能或角色必須訪問資源時，才提供訪問權(quán)限。例如，人力資源員工將不需要訪問會計功能。通過限制訪問權(quán)限，受攻擊的員工帳戶將無法訪問該角色所需范圍之外的功能和數(shù)據(jù)。

隨著IT安全變得越來越重要，幾乎所有產(chǎn)品都具有基于角色的訪問安全控制。這應(yīng)該是產(chǎn)品選擇的關(guān)鍵標(biāo)準(zhǔn)。美國國家標(biāo)準(zhǔn)協(xié)會還有這方面的標(biāo)準(zhǔn)，在《ANSI InterNational Committee for Information Technology Standards 359-2004》和《INCITS 359-2012》中有詳細說明。

步驟3. 允許列表應(yīng)用

網(wǎng)絡(luò)曾經(jīng)是開放的，唯一執(zhí)行的過濾是拒絕某些連接。而允許列表顛覆了這種模式。僅允許應(yīng)用程序功能所需的那些連接和數(shù)據(jù)流;而阻止所有其他連接。這里的目的是減少安全泄漏事故在整個企業(yè)中橫向傳播的機會。

安全團隊?wèi)?yīng)配置過濾系統(tǒng)，以記錄或日志記錄建立連接的失敗嘗試。應(yīng)將這些警報視為陷阱絆線，可能將團隊引誘到受感染的帳戶或系統(tǒng)。安全信息和事件管理可以幫助管理來自過濾系統(tǒng)的大量事件。

二、NetCraftsmen的安全步驟

步驟4.修復(fù)漏洞和解決辦法

安全團隊必須努力修復(fù)已知漏洞，并部署解決辦法。正如NSA所提到的，零日攻擊很少發(fā)生，大多數(shù)網(wǎng)絡(luò)安全漏洞是由于未打補丁的系統(tǒng)而引起。企業(yè)必須對應(yīng)用程序、服務(wù)器操作系統(tǒng)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)進行定期更新。安全團隊將需要流程和人員來跟蹤更新，并需要配置管理系統(tǒng)來推動更新。

步驟5.網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段的目的是防止自動化惡意軟件在業(yè)務(wù)功能之間橫向擴散。企業(yè)可將網(wǎng)絡(luò)根據(jù)功能進行分段，各段之間的訪問受限。例如，設(shè)施基礎(chǔ)設(shè)施網(wǎng)絡(luò)沒有理由訪問HR或會計等業(yè)務(wù)功能。對于業(yè)務(wù)分段之間的任何訪問，安全團隊?wèi)?yīng)使用應(yīng)用程序允許列表(請參見上面的第3步)。

步驟6.系統(tǒng)備份

最常見的入侵是勒索軟件，而成功的廣泛攻擊可能會嚴(yán)重打擊企業(yè)。系統(tǒng)備份可以降低這種攻擊的大部分風(fēng)險，但前提是確保備份本身不會受到攻擊。安全團隊必須精心設(shè)計其備份系統(tǒng)以確保安全，因為攻擊者在觸發(fā)企業(yè)數(shù)據(jù)加密前，會監(jiān)視IT系統(tǒng)長達數(shù)周。

與勒索軟件攻擊一樣，自然災(zāi)難同樣具有破壞性，并且備份應(yīng)存儲在不同位置，而不會遭受同一自然災(zāi)害影響。企業(yè)可以研究其他企業(yè)如何處理自然災(zāi)害以及如何從自然災(zāi)害中恢復(fù)過來，以了解有效的方法和無效的方法。

步驟7.員工安全教育

最后的安全步驟是教育員工。使用反網(wǎng)絡(luò)釣魚活動對員工進行培訓(xùn)，讓員工了解有關(guān)入侵和欺詐的電子郵件。一種常見的攻擊方法是誘使員工點擊電子郵件中已感染惡意軟件的笑話、圖片或視頻。欺詐性電子郵件會誘騙員工(通常是財務(wù)職位)進行欺詐性的轉(zhuǎn)賬。某些員工角色可能需要其他針對特定工作的培訓(xùn)。

培訓(xùn)已被證明是可行的。這種培訓(xùn)應(yīng)該強調(diào)過去的經(jīng)驗教訓(xùn)，并包括新的攻擊機制。培訓(xùn)的另一個好處是，員工在其個人生活中可更好地做好準(zhǔn)備避免遭受此類攻擊。

三、確保一切正常運行

好的IT系統(tǒng)依賴于人員、流程以及技術(shù)和工具的適當(dāng)平衡。以上七個步驟主要關(guān)注人員和流程。為了獲得平衡的安全基礎(chǔ)，企業(yè)可以使用“網(wǎng)絡(luò)防御矩陣”來評估安全工具。