企業攻擊面管理的 7 個實踐

段鐵興

遵循攻擊面管理的一些優秀實踐可以最大限度地減少漏洞，并減少威脅行為者危害企業網絡和設備的機會。

更多的云計算解決方案、遠程工作系統以及連接互聯網的設備會增加網絡攻擊面擴大的風險。減少漏洞數量的最佳方法是建立適當的企業攻擊面管理程序。

以下是構建企業攻擊面管理程序時需要考慮的一些優秀實踐。

映射攻擊面

要進行適當的防御，企業必須了解數字資產暴露的內容，網絡攻擊者最有可能以網絡為目標的位置，以及需要采取哪些保護措施。因此，提高網絡攻擊面的可見性并采用應對攻擊漏洞的有力措施至關重要。要查找的漏洞類型包括較舊且安全性較低的計算機或服務器、未打補丁的系統、過時的應用程序和暴露的物聯網設備。

預測建模有助于創建對可能發生的事件及其風險的真實描述，進一步加強防御和主動措施。一旦了解了風險，就可以對攻擊事件或數據違規之前、期間和之后會發生的情況進行建模。可以預期有什么樣的經濟損失？企業的聲譽會受到什么損害？企業會丟失商業情報、商業機密或更多數據嗎？

SANS 公司新興安全趨勢主管 John Pescatore 說：“成功的映射攻擊面策略非常簡單——了解需要保護的內容（準確的資產清單）、監控這些資產中的漏洞并使用威脅情報來了解攻擊者如何利用漏洞攻擊這些資產，這 3 個階段中的每一個階段都需要擁有熟練的安全技術員工，以跟上這 3 個領域的變化速度。”

最小化漏洞

一旦企業映射了攻擊面，就可以采取行動以減輕最重要的漏洞和潛在攻擊向量所構成的風險，然后再繼續執行較低優先級的任務。

大多數網絡平臺供應商現在都提供一些工具來幫助最小化攻擊面。例如，微軟公司的攻擊面減少（ASR）規則允許用戶阻止攻擊者常用的進程和可執行文件。

大多數違規是由人為錯誤造成的，因此，建立安全意識和培訓員工是減少漏洞的另一個關鍵。企業采用哪些政策可以幫助掌握個人和工作安全？他們知道需要什么嗎？他們應該使用哪些安全實踐？失敗將如何影響他們的業務？

并非所有漏洞都需要解決，有些漏洞無論如何都會持續存在。可靠的網絡安全策略包括識別相關來源，找出更有可能被利用的來源，這些是應該處理和監控的漏洞。

大多數企業允許的訪問權限超過員工和承包商所需的訪問權限，適當范圍的權限可以確保帳戶遭到破壞也不會中斷或者造成重大損害。對關鍵系統的訪問權限進行分析，然后將每個人和設備的訪問權限限制在他們需要保護的資源上。

建立強大的安全實踐和政策

遵循安全最佳實踐將會顯著減少企業的攻擊面。這包括實施入侵檢測解決方案、定期進行風險評估以及制定明確有效的政策。

以下是一些需要考慮的實踐：

使用強大的身份驗證協議和訪問控制進行健康的帳戶管理;

建立一致的修補和更新策略;

維護和測試關鍵數據的備份;

對網絡進行分段，以在發生漏洞時將損壞降至最低;

監控和淘汰舊設備、設備和服務;

在可行的地方使用加密;

制定或限制 BYOD 政策和計劃。

建立安全監控和測試協議

強大的網絡安全計劃需要不斷調整，需要持續監控和定期測試，后者通常通過第三方滲透測試服務。

監控通常通過自動化系統完成，如安全信息和事件管理軟件（SIEM），將主機系統和應用程序生成的日志數據收集到網絡和安全設備，例如防火墻和防病毒過濾器。然后，安全信息和事件管理軟件（SIEM）識別、分類和分析事件，并對其進行分析。

滲透測試旨在揭示關鍵漏洞的模擬攻擊，測試應涉及企業網絡和 BYOD 的核心元素以及供應商正在使用的第三方設備。移動設備約占企業數據交互的 60 %。

強化電子郵件系統

網絡釣魚是網絡攻擊者入侵企業網絡的常見方式。然而，一些企業尚未完全部署限制員工收到惡意電子郵件數量的電子郵件協議。這些協議包括：

發件人策略框架（SPF）可以防止對合法電子郵件返回地址進行欺騙;

域密鑰識別郵件（DKIM）可以防止“顯示發件人”電子郵件地址的欺騙，即收件人在預覽或打開郵件時看到的內容;

基于域的郵件身份驗證、報告和一致性允許設置有關如何處理由 SPF 或 DKIM 識別的失敗或欺騙電子郵件的規則。

Aetna 公司前首席信息安全官 Pescatore 表示：“如果企業管理層支持進行所需的更改，能夠保證業務收益超過安全成本，從而使企業轉向安全軟件開發，并實施強大的電子郵件身份驗證。”

了解合規性

所有企業都應制定政策和程序來研究、確定和理解內部和政府標準。目標是確保所有安全策略都符合要求，并且對各種攻擊和違規類型都有適當的響應計劃。

企業還需要建立一個工作組和戰略，以便在新政策和法規生效時對其進行審查。與合規性對于現代網絡安全策略一樣重要，但這并不意味著它應該是優先事項。Pescatore 說，“合規性往往是第一位的，但幾乎 100 %發生信用卡信息泄露的公司都符合 PCI 合規性，然而它們并不安全。”

聘請審計人員

在評估企業攻擊面時，即使是最好的安全團隊有時也需要獲得外部幫助，聘請安全審計人員和分析師可以幫助企業發現可能會被忽視的攻擊媒介和漏洞。

他們還可以協助制定事件管理計劃，以應對潛在的違規和攻擊。很多企業沒有為網絡安全攻擊做好準備，因為他們沒有制衡和衡量網絡攻擊的政策。