本文從識(shí)別端點(diǎn)開始，直至實(shí)施 EDR 解決方案，為你整理出了便于 IT 和安全專業(yè)人員掌握的 10 項(xiàng)端點(diǎn)安全加固的必備技巧。

在當(dāng)今的數(shù)字世界中，可謂一切源于連接，而連接的端點(diǎn)則是企業(yè)進(jìn)入數(shù)字王國(guó)的門戶。正因?yàn)槿绱?，各個(gè)端點(diǎn)便成為了黑客最喜歡攻擊的目標(biāo)之一。

根據(jù) IDC 的數(shù)統(tǒng)計(jì)據(jù)，70% 的成功入侵都是從端點(diǎn)開始的。那些未受保護(hù)的端點(diǎn)往往為破壞性的網(wǎng)絡(luò)攻擊提供了脆弱的切入點(diǎn)。然而，由于企業(yè) IT 團(tuán)隊(duì)需要保護(hù)的端點(diǎn)數(shù)量和種類，比以往任何時(shí)候都更加繁雜。因此，針對(duì)端點(diǎn)的防御也就更具挑戰(zhàn)性。

下面，我為你整理出了便于 IT 和安全專業(yè)人員掌握的 10 項(xiàng)端點(diǎn)安全加固的必備技巧。我們將從識(shí)別端點(diǎn)開始探討，直至實(shí)施 EDR 解決方案，讓你更有信心地保護(hù)自己所管轄的各個(gè)端點(diǎn)。

1.識(shí)別和了解你的端點(diǎn)

了解網(wǎng)絡(luò)端點(diǎn)的過程就像是為網(wǎng)絡(luò)安全戰(zhàn)略繪制地圖，我們首先要清點(diǎn)所有可能成為網(wǎng)絡(luò)威脅攻擊的端點(diǎn)。也就是說，我們需要徹底清查并根據(jù)端點(diǎn)的敏感性和關(guān)鍵性，對(duì)其進(jìn)行合理的分類。這將有助于調(diào)整防御措施，以修補(bǔ)與各臺(tái)設(shè)備相關(guān)的特定安全漏洞。

專業(yè)提示：

• 利用資產(chǎn)管理工具維護(hù)所有端點(diǎn)的最新清單。
• 根據(jù)端點(diǎn)的功能和對(duì)組織的重要性，對(duì)端點(diǎn)進(jìn)行分類。
• 優(yōu)先實(shí)施針對(duì)關(guān)鍵性端點(diǎn)的安全措施。

2.制定積極主動(dòng)的補(bǔ)丁策略

定期更新操作系統(tǒng)和應(yīng)用程序可謂端點(diǎn)安全的基石。只有制定積極主動(dòng)的補(bǔ)丁管理策略，我們才能確保及時(shí)處理已知的漏洞，降低被網(wǎng)絡(luò)犯罪分子利用的風(fēng)險(xiǎn)。同時(shí)，通過建立自動(dòng)化的補(bǔ)丁管理系統(tǒng)，我們也能夠有效地防止可能危及敏感數(shù)據(jù)、或造成運(yùn)營(yíng)中斷的潛在事件的發(fā)生。

專業(yè)提示：

• 利用自動(dòng)化補(bǔ)丁管理工具簡(jiǎn)化更新，或依賴安全托管方案，來減輕團(tuán)隊(duì)的日常維護(hù)任務(wù)量。
• 根據(jù)補(bǔ)丁的嚴(yán)重性和潛在影響，來確定補(bǔ)丁的優(yōu)先級(jí)。
• 在非生產(chǎn)環(huán)境中先測(cè)試更新，再廣泛地推廣到生產(chǎn)環(huán)境中。
• 將補(bǔ)丁安裝安排在非業(yè)務(wù)高峰時(shí)段，以盡量減少運(yùn)營(yíng)的中斷。

3.利用 MFA 增加一層防御

多因素身份驗(yàn)證（MFA）的實(shí)施，可以防止網(wǎng)絡(luò)犯罪分子對(duì)端點(diǎn)進(jìn)行未經(jīng)授權(quán)的訪問。也就是說，通過要求用戶提供多種形式的身份驗(yàn)證要素，如：密碼、安全令牌或面部識(shí)別等，我們可以大幅提高端點(diǎn)的安全性。

為此，我們應(yīng)鼓勵(lì)用戶在所有的設(shè)備上采用 MFA，以加強(qiáng)并維護(hù)身份驗(yàn)證機(jī)制。同時(shí)，我們也要讓他們了解到該機(jī)制的重要性，以及即使網(wǎng)絡(luò)犯罪分子獲取了他們的登錄密碼，該機(jī)制仍可起到一定的威懾與補(bǔ)償作用。

專業(yè)提示：

• 為所有的用戶賬戶，尤其是那些可訪問敏感信息的用戶賬戶啟用 MFA。
• 定期審核 MFA 的設(shè)置，以確保其持續(xù)有效。
• 將 MFA 與單點(diǎn)登錄聯(lián)合使用，實(shí)現(xiàn)在便利性和安全性之間取得平衡。

4.奉行最小特權(quán)原則

最小權(quán)限原則的工作原理是：只允許用戶、程序或進(jìn)程擁有夠用的訪問權(quán)限，以執(zhí)行其基本功能。遵守該原則可以幫助你在安全性和功能性之間取得適當(dāng)?shù)钠胶狻Ｒ簿褪钦f，通過將用戶訪問的權(quán)限限制在其角色所需的最低限度，我們可以降低端點(diǎn)被未經(jīng)授權(quán)訪問的風(fēng)險(xiǎn)。當(dāng)然，我們需要確保定期審查各項(xiàng)訪問權(quán)限，才能在不妨礙日常操作的情況下維護(hù)安全性。

專業(yè)提示：

• 審核用戶、程序或進(jìn)程的訪問權(quán)限，以識(shí)別并盡量減少不必要的權(quán)限。
• 使用基于角色的訪問控制，使得人員權(quán)限與工作職責(zé)相一致。
• 建立定期審查制度，讓最小特權(quán)原則能夠長(zhǎng)期有效。

5.提升端點(diǎn)的防御層級(jí)

不知你是否聽說過“縱深防御”的概念。就像打造一座有多層防御的堡壘那樣，它會(huì)將防火墻、防病毒軟件、端點(diǎn)檢測(cè)和響應(yīng)、以及入侵檢測(cè)結(jié)合起來，為端點(diǎn)和更廣泛的網(wǎng)絡(luò)創(chuàng)建出強(qiáng)大的安全態(tài)勢(shì)。這種方法可以確保即使某一層級(jí)的防護(hù)被攻破，其他層級(jí)仍能保持應(yīng)有的功效，從而提供全面的防御，以抵御黑客的各種攻擊。

專業(yè)提示：

• 深度防御通常涉及到物理安全控制、技術(shù)安全控制、以及管理安全控制的組合。
• 在構(gòu)建層級(jí)時(shí)，應(yīng)查找系統(tǒng)組件之間的管控縫隙，以免黑客乘虛而入。
• 可考慮采用托管網(wǎng)絡(luò)安全的解決方案，來部署和管理多層防御。

6.優(yōu)先考慮端點(diǎn)的實(shí)時(shí)可見性

據(jù)統(tǒng)計(jì)，目前全球系統(tǒng)宕機(jī)時(shí)間的中位數(shù)為 16 天。這意味著攻擊者可能在目標(biāo)環(huán)境中駐留兩周半后才會(huì)被發(fā)現(xiàn)。

我們都知道，若要及早發(fā)現(xiàn)潛在的安全事件，檢測(cè)的速度和精度都是至關(guān)重要的。而要想抓緊時(shí)間，最好的辦法就是實(shí)施可提供實(shí)時(shí)監(jiān)控和遙測(cè)功能的端點(diǎn)安全解決方案。

通過實(shí)時(shí)遙測(cè)技術(shù)，我們可以深入洞察所有端點(diǎn)的狀況和行為，以及在這些端點(diǎn)上正在發(fā)生的各項(xiàng)活動(dòng)。可見，這種可視性將有助于我們降低盲點(diǎn)出現(xiàn)的風(fēng)險(xiǎn)，檢測(cè)異常模式和行為，并及時(shí)捕捉到那些已成功繞過防御方案（如：防病毒和防火墻）的攻擊。而且，它還可以針對(duì)潛在的安全事件發(fā)出預(yù)警。

專業(yè)提示：

• 實(shí)施具有實(shí)時(shí)監(jiān)控功能的安全工具或托管方案。
• 設(shè)置預(yù)警，以便在檢測(cè)到可疑活動(dòng)和異常情況時(shí)觸發(fā)警報(bào)，或者直接尋求安全運(yùn)營(yíng)中心（SOC）的支持方案，以實(shí)施自動(dòng)化干預(yù)。
• 定期分析遙測(cè)數(shù)據(jù)，通過趨勢(shì)來增強(qiáng)威脅檢測(cè)的能力。

7.實(shí)施 EDR 解決方案

既然端點(diǎn)是網(wǎng)絡(luò)攻擊的新戰(zhàn)場(chǎng)，那么你就需要具備檢測(cè)已知和未知威脅的能力，并對(duì)其做出快速有效的響應(yīng)。而端點(diǎn)檢測(cè)和響應(yīng) (EDR) 解決方案恰好能在此方面發(fā)揮作用。它能夠提供端點(diǎn)級(jí)別的實(shí)時(shí)監(jiān)控和威脅檢測(cè)，使 IT 團(tuán)隊(duì)能夠在檢測(cè)到可疑活動(dòng)時(shí)迅速做出反應(yīng)。

也就是說， EDR 解決方案通過對(duì)網(wǎng)絡(luò)威脅進(jìn)行持續(xù)監(jiān)控、檢測(cè)、調(diào)查和響應(yīng)，以增強(qiáng)端點(diǎn)的防御能力，并提供諸如：攻擊相關(guān)的人員、內(nèi)容、地點(diǎn)、時(shí)間和方式等實(shí)用的背景信息。這便是 EDR 有別于防病毒、防火墻或其他預(yù)防性解決方案的真正原因，也是它成為任何安全棧中的補(bǔ)充層級(jí)的原因。

專業(yè)提示：

• 在選擇EDR解決方案時(shí)，請(qǐng)嚴(yán)格參考你的具體需求和預(yù)算。
• 在部署EDR 解決方案實(shí)現(xiàn)實(shí)時(shí)檢測(cè)和預(yù)警時(shí)，應(yīng)考慮是否能與其他工具配合使用。
• EDR解決方案不是“開箱即用”的產(chǎn)品，應(yīng)考慮自身是否具備獨(dú)立管理該方案的技能和能力。
• 評(píng)估非托管和托管式的 EDR 方式，哪個(gè)更適合。

8.制定明確的 BYOD 政策

作為自帶設(shè)備的縮寫，BYOD 政策允許企業(yè)員工將自己的電腦、智能手機(jī)或其他設(shè)備用于工作目的。不過，隨著員工將自己的個(gè)人設(shè)備帶入工作場(chǎng)所，這就意味著有更多的端點(diǎn)需要保護(hù)，也就有更多的潛在攻擊入口需要抵御。為了降低潛在的風(fēng)險(xiǎn)，我們可以通過定義明確的 BYOD 政策，在保持個(gè)人設(shè)備使用的靈活性和便利性的同時(shí)，遵循并執(zhí)行個(gè)人設(shè)備的使用指南，以確保設(shè)備持續(xù)符合企業(yè)的安全標(biāo)準(zhǔn)，并受到定期的合理化監(jiān)控。

專業(yè)提示：

• 制定全面的 BYOD 政策，重點(diǎn)概述工作場(chǎng)所內(nèi)個(gè)人設(shè)備的安全使用與要求。
• 通過移動(dòng)設(shè)備管理 (MDM) 工具，來協(xié)助執(zhí)行相關(guān)政策。
• 定期審核 BYOD 相關(guān)設(shè)備的合規(guī)性和安全性。

9.定期開展網(wǎng)絡(luò)安全培訓(xùn)，增強(qiáng)第一道防線

實(shí)際上，用戶和員工才是任何組織的第一道防線。定期的網(wǎng)絡(luò)安全培訓(xùn)課程，可以讓他們了解值得注意的威脅，并掌握各種保護(hù)端點(diǎn)的最佳實(shí)踐。安全意識(shí)培訓(xùn)計(jì)劃是一個(gè)持續(xù)教育的過程，我們可以通過創(chuàng)建輕松意識(shí)文化，來幫助員工學(xué)會(huì)如何識(shí)別和報(bào)告潛在的安全威脅。而通過將員工轉(zhuǎn)變?yōu)榘踩ぷ鞯姆e極參與者，你便可以加強(qiáng)端點(diǎn)安全防御的人性化元素。

專業(yè)提示：

• 定期對(duì)所有員工進(jìn)行安全意識(shí)培訓(xùn)。
• 提供關(guān)于識(shí)別和報(bào)告安全事件的明確指南。
• 通過網(wǎng)絡(luò)釣魚模擬等方式，對(duì)員工的意識(shí)進(jìn)行測(cè)試，以檢驗(yàn)培訓(xùn)的有效性，或了解哪些用戶需要更多的教育。
• 培養(yǎng)持續(xù)學(xué)習(xí)的文化，并能根據(jù)威脅的不斷演進(jìn)，去調(diào)整培訓(xùn)內(nèi)容。

10.定期進(jìn)行風(fēng)險(xiǎn)評(píng)估和審計(jì)

我們可以將風(fēng)險(xiǎn)評(píng)估和審計(jì)視為一種特殊的網(wǎng)絡(luò)安全體檢?？梢哉f，定期進(jìn)行評(píng)估對(duì)于檢查端點(diǎn)安全措施的有效性，以及建立良好的安全態(tài)勢(shì)都是至關(guān)重要的。通過評(píng)估，我們可以找出潛在的薄弱環(huán)節(jié)和需要改進(jìn)的地方，而審計(jì)則可以確保符合安全策略。只有貫徹了此類持續(xù)改進(jìn)的檢驗(yàn)周期，我們才能根據(jù)發(fā)現(xiàn)去調(diào)整策略，以保持端點(diǎn)安全的穩(wěn)固性和有效性。

專業(yè)提示：

• 通過定期風(fēng)險(xiǎn)評(píng)估，來驗(yàn)證端點(diǎn)安全、網(wǎng)絡(luò)安全、以及事件響應(yīng)等措施的有效性。
• 對(duì)端點(diǎn)的安全策略、配置、以及用戶的合規(guī)性進(jìn)行全面審核。
• 建立反饋回路，根據(jù)評(píng)估和審計(jì)結(jié)果實(shí)施改進(jìn)。

綜上所述，上面給大家提供的雖然不是一份包羅萬象的清單，但是它足以為你的端點(diǎn)安全奠定堅(jiān)實(shí)的基礎(chǔ)。通過將上述方面納入安全策略，你將能夠創(chuàng)建一套靈活應(yīng)變防御措施，讓你的企業(yè)能夠自信地應(yīng)對(duì)當(dāng)前變化多端的威脅環(huán)境。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：10 Critical Endpoint Security Tips You Should Know，作者：The Hacker News。

鏈接：https://thehackernews.com/2024/04/10-critical-endpoint-security-tips-you.html。