[[408280]]

遵循攻擊面管理的一些優(yōu)秀實踐可以最大限度地減少漏洞，并減少威脅行為者危害企業(yè)網(wǎng)絡(luò)和設(shè)備的機會。

更多的云計算解決方案、遠程工作系統(tǒng)以及連接互聯(lián)網(wǎng)的設(shè)備會增加網(wǎng)絡(luò)攻擊面擴大的風險。減少漏洞數(shù)量的最佳方法是建立適當?shù)钠髽I(yè)攻擊面管理程序。

正確的網(wǎng)絡(luò)攻擊面管理需要分析操作以發(fā)現(xiàn)潛在漏洞并了解情況。這些信息應該有助于制定計劃，但成功取決于在企業(yè)的網(wǎng)絡(luò)、系統(tǒng)、渠道和接觸點中執(zhí)行該計劃。

以下是構(gòu)建企業(yè)攻擊面管理程序時需要考慮的一些有優(yōu)秀實踐：

1. 映射攻擊面

要進行適當?shù)姆烙?，企業(yè)必須了解數(shù)字資產(chǎn)暴露的內(nèi)容、網(wǎng)絡(luò)攻擊者最有可能以網(wǎng)絡(luò)為目標的位置，以及需要采取哪些保護措施。因此，提高網(wǎng)絡(luò)攻擊面的可見性并采用應對攻擊漏洞的有力措施至關(guān)重要。要查找的漏洞類型包括較舊且安全性較低的計算機或服務(wù)器、未打補丁的系統(tǒng)、過時的應用程序和暴露的物聯(lián)網(wǎng)設(shè)備。

預測建模有助于創(chuàng)建對可能發(fā)生的事件及其風險的真實描述，進一步加強防御和主動措施。一旦了解了風險，就可以對攻擊事件或數(shù)據(jù)違規(guī)之前、期間和之后會發(fā)生的情況進行建模?？梢灶A期會有什么樣的經(jīng)濟損失?企業(yè)的聲譽會受到什么損害?企業(yè)會丟失商業(yè)情報、商業(yè)機密或更多數(shù)據(jù)嗎?

SANS公司新興安全趨勢主管John Pescatore說，“成功的映射攻擊面策略非常簡單：了解需要保護的內(nèi)容(準確的資產(chǎn)清單);監(jiān)控這些資產(chǎn)中的漏洞;并使用威脅情報來了解攻擊者如何利用這些漏洞攻擊這些資產(chǎn)……這三個階段中的每一個階段都需要擁有安全技術(shù)的熟練員工，以跟上所有三個領(lǐng)域的變化速度。”

2. 最小化漏洞

一旦企業(yè)映射了攻擊面，他們就可以采取行動，以減輕最重要的漏洞和潛在攻擊向量所構(gòu)成的風險，然后再繼續(xù)執(zhí)行較低優(yōu)先級的任務(wù)。盡可能使資產(chǎn)離線運行和加強內(nèi)部和外向網(wǎng)絡(luò)是兩個關(guān)鍵領(lǐng)域。

大多數(shù)網(wǎng)絡(luò)平臺供應商現(xiàn)在都提供一些工具來幫助最小化其攻擊面。例如，微軟公司的攻擊面減少(ASR)規(guī)則允許用戶阻止攻擊者常用的進程和可執(zhí)行文件。

大多數(shù)違規(guī)是由人為錯誤造成的。因此，建立安全意識和培訓員工是減少漏洞的另一個關(guān)鍵方面。企業(yè)采用哪些政策可以幫助他們掌握個人和工作安全?他們知道需要什么嗎?他們應該使用哪些安全實踐?失敗將如何影響他們和整個業(yè)務(wù)?

并非所有漏洞都需要解決，有些漏洞無論如何都會持續(xù)存在?？煽康木W(wǎng)絡(luò)安全策略包括識別相關(guān)來源的方法，找出更有可能被利用的來源。這些是應該處理和監(jiān)控的漏洞。

大多數(shù)企業(yè)允許的訪問權(quán)限超過員工和承包商所需的訪問權(quán)限。適當范圍的權(quán)限可以確保即使帳戶遭到破壞也不會造成中斷或重大損害。開始對關(guān)鍵系統(tǒng)的訪問權(quán)限進行分析，然后將每個人和設(shè)備的訪問權(quán)限限制在他們需要保護的資產(chǎn)上。

3. 建立強大的安全實踐和政策

遵循久經(jīng)考驗的安全最佳實踐將會顯著地減少企業(yè)的攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。

以下是一些需要考慮的實踐：

• 使用強大的身份驗證協(xié)議和訪問控制進行健康的帳戶管理。
• 建立一致的修補和更新策略。
• 維護和測試關(guān)鍵數(shù)據(jù)的備份。
• 對網(wǎng)絡(luò)進行分段，以在發(fā)生漏洞時將損壞降至最低。
• 監(jiān)控和淘汰舊設(shè)備、設(shè)備和服務(wù)。
• 在可行的地方使用加密。
• 制定或限制BYOD政策和計劃。

4. 建立安全監(jiān)控和測試協(xié)議

隨著IT基礎(chǔ)設(shè)施的變化和威脅行為者的發(fā)展，強大的網(wǎng)絡(luò)安全計劃需要不斷調(diào)整。這需要持續(xù)監(jiān)控和定期測試，后者通常通過第三方滲透測試服務(wù)。

監(jiān)控通常通過自動化系統(tǒng)完成，如安全信息和事件管理軟件(SIEM)。它將主機系統(tǒng)和應用程序生成的日志數(shù)據(jù)收集到網(wǎng)絡(luò)和安全設(shè)備，例如防火墻和防病毒過濾器。然后，安全信息和事件管理軟件(SIEM)識別、分類和分析事件，并對其進行分析。

滲透測試提供公正的第三方反饋，幫助企業(yè)更好地了解漏洞。滲透測試人員進行旨在揭示關(guān)鍵漏洞的模擬攻擊。測試應涉及企業(yè)網(wǎng)絡(luò)和BYOD的核心元素以及供應商正在使用的第三方設(shè)備。移動設(shè)備約占企業(yè)數(shù)據(jù)交互的60%。

5. 強化電子郵件系統(tǒng)

網(wǎng)絡(luò)釣魚是網(wǎng)絡(luò)攻擊者入侵企業(yè)網(wǎng)絡(luò)的常見方式。然而，一些企業(yè)尚未完全部署旨在限制員工收到的惡意電子郵件數(shù)量的電子郵件協(xié)議。這些協(xié)議是：

• 發(fā)件人策略框架(SPF)可以防止對合法電子郵件返回地址進行欺騙。
• 域密鑰識別郵件(DKIM)可以防止“顯示發(fā)件人”電子郵件地址的欺騙，即收件人在預覽或打開郵件時看到的內(nèi)容。
• 基于域的郵件身份驗證、報告和一致性(DMARC)允許設(shè)置有關(guān)如何處理由SPF或DKIM識別的失敗或欺騙電子郵件的規(guī)則。

Aetna公司前首席信息安全官Pescatore表示，“如果企業(yè)管理層支持進行所需的更改，能夠保證業(yè)務(wù)收益超過安全成本，從而使企業(yè)轉(zhuǎn)向安全軟件開發(fā)，并實施強大的電子郵件身份驗證。”

并非所有建議都能落實，但他實現(xiàn)了，其采取的措施減少了軟件漏洞，并縮短了所在公司的上市時間。轉(zhuǎn)向DMARC和強大的電子郵件身份驗證提高了電子郵件營銷活動的點擊率。

6. 了解合規(guī)性

所有企業(yè)都應制定政策和程序來研究、確定和理解內(nèi)部和政府標準。目標是確保所有安全策略都符合要求，并且對各種攻擊和違規(guī)類型都有適當?shù)捻憫媱潯?/p>

企業(yè)還需要建立一個工作組和戰(zhàn)略，以便在新政策和法規(guī)生效時對其進行審查。與合規(guī)性對于現(xiàn)代網(wǎng)絡(luò)安全策略一樣重要，但這并不一定意味著它應該是優(yōu)先事項。Pescatore說，“合規(guī)性往往是第一位的，但幾乎100%發(fā)生信用卡信息泄露的公司都符合PCI合規(guī)性。然而它們并不安全。”

7. 聘請審計人員

在評估企業(yè)攻擊面時，即使是最好的安全團隊有時也需要獲得外部幫助。聘請安全審計人員和分析師可以幫助企業(yè)發(fā)現(xiàn)可能會被忽視的攻擊媒介和漏洞。

他們還可以協(xié)助制定事件管理計劃，以應對潛在的違規(guī)和攻擊。很多企業(yè)沒有為網(wǎng)絡(luò)安全攻擊做好準備，因為他們沒有制衡和衡量網(wǎng)絡(luò)攻擊的政策。

Smart Billions公司首席技術(shù)官Jason Mitchell說：“在嘗試客觀地確定安全風險時，擁有一個外部的、公正的觀點可能非常有益。使用獨立的監(jiān)控流程來幫助識別風險行為和威脅，以免它們成為端點上的問題，尤其是新的數(shù)字資產(chǎn)、新加入的供應商和遠程工作的員工。”