|
從理論上講��,每個人都可以遵循藍圖來設計網絡安全防范風險�����,但為什么網絡安全事件依然頻頻發(fā)生����?事實上����,根本不存在可以一勞永逸消除所有網絡風險的途徑����,無論是采取行動、花費資金或利用技術���。風險的來源和程度隨著威脅形勢而不斷變化�,威脅實施者也在不斷部署新技術并利用新發(fā)現(xiàn)的漏洞�����。
網絡世界類似于物理學中的熵概念。熵是系統(tǒng)無序的量度����。熵越高,系統(tǒng)就越混亂�����。一般來說����,有了熵,所有事物都會隨著時間的推移變得不那么有條理��。在保護網絡時��,這當然是正確的��。隨著時間的推移����,威脅參與者通常會變得更加有條理,并且需要降低風險以跟上步伐����。 幾乎每個網絡都會經歷安全熵�����。即使企業(yè)已盡一切可能降低風險����,但隨著時間的推移�,會暴露出更多的漏洞(以及由此產生的風險)。數(shù)據試圖逃逸�����,而一直穩(wěn)定的東西變得不穩(wěn)定—換句話說����,它們經歷了熵。系統(tǒng)和安全措施變得不那么有條理���,更加混亂,并受到更多的熵的影響����。 可以提出70個問題來確定企業(yè)是否涵蓋了大多數(shù)防御原則,并已采取措施降低與網絡安全相關的風險(和熵)。 如果您對以下70個問題的回答“是”���,那么您的網絡安全風險就大大降低了����。但即便如此�����,風險仍然存在��,必須持續(xù)監(jiān)控和緩解熵�����。沒有特定數(shù)量的層可以消除所有風險��,就像物理宇宙中沒有任何東西不經歷熵一樣�。 以下70個問題,排列不分先后: 1. 您是否進行過強大且頻繁的最終用戶網絡安全意識培訓�����? 2. 您是否教過每個人如何安全地存儲密碼或密碼短語��? 3. 您是否每季度開展一次反網絡釣魚、短信釣魚和電話釣魚活動����? 4. 組織中的每個人都是否了解與網絡安全相關的風險,威脅參與者使用的常見策略以及如何報告任何可疑活動以供進一步調查����?? 5. 所有供應商默認帳戶是否已更改或禁用? 6. 是否只啟用必要的服務����、協(xié)議、守護進程和功能����? 7. 是否刪除或禁用了所有不必要的功能? 8. 終止雇傭關系后�����,所有帳戶是否會立即被禁用或刪除�? 9. 是否所有屏幕空閑時間都設置為 15 分鐘,是否需要重新進行身份驗證才能解鎖�����?? 10.您是否為最終用戶提供了保存所有密碼的工具(最好是基于云的家庭和工作使用)��? 11.您是否開發(fā)了一個管理員(admin)和用戶密碼字母或短語策略�,消除了使用常見的或容易猜測的密碼?? 12. 是否所有終端日志都由使用基于威脅參與者活動和啟發(fā)式的威脅情報和人工智能 (AI)的智能技術攝?��?? 13. 您是否強化了所有終端并刪除了作業(yè)功能不需要的所有內容��? 14. 您是否在利用具有內置安全上下文的基于威脅情報的安全分析平臺的所有終端上提供下一代反惡意軟件保護(例如�����,托管檢測和響應 [MDR]�、擴展檢測和響應 [XDR]、端點檢測和響應 [EDR])����? 15. 您是否阻止非企業(yè)控制和受保護的設備連接到網絡的任何部分? 16. 是否所有終端都有個人防火墻�����,用于在未連接到企業(yè)網絡時訪問Internet���? 17. 是否所有終端都安裝了無法禁用的防病毒軟件����,并在有新的更新可用時自動更新? 18. 是否所有終端都安裝了下一代反惡意軟件應用程序�����?? 19. 所有日志是否至少存儲2年���? 20. 是否所有設備都生成日志�? 21. 內部和/或外部來源是否每天都會審查所有日志����? 22. 您是否擁有成熟且組織良好的網絡安全事件響應(內部或與第三方合作)來徹底調查所有事件?? 23. 您是否只為員工提供履行工作職能所需的工具和訪問權限��,而沒有其他任何內容�����? 24. 您是否使用最小特權原則��? 25. 是否部署了零信任模型�����? 26. 是否需要對網絡外的所有連接進行多重身份驗證(MFA)��? 27. 您是否需要內部身份驗證的網絡用戶進行MFA才能訪問網絡內的關鍵基礎設施和數(shù)據(即頂尖業(yè)務)���? 28. 您是否按照允許您快速為網絡上的每個帳戶執(zhí)行密碼重置的順序管理所有憑據�����?(這包括服務帳戶) 29. 您最近是否評估了您的活動目錄�,以確保其正確配置和受到保護�����? 30. 您是否正在積極監(jiān)控活動目錄的安全性����? 31. 除非另有授權,否則您的外圍防火墻是否有全部拒絕規(guī)則�����? 32. 您的隔離區(qū)(DMZ)是否安全�? 33. 是否確認隔離區(qū)沒有數(shù)據�����、數(shù)據庫或存儲帳戶�? 34. 您是否部署了反欺騙技術來防止偽造的IP地址進入網絡�����? 35. 您是否阻止在互聯(lián)網上披露內部IP地址和路由信息�����? 36. 您是否使用限制性防火墻將關鍵基礎設施與網絡的其他部分隔離開來(例如����,將WiFi、機密數(shù)據��、虛擬機和打印機與頂尖業(yè)務離開來)�����?? 37. 是否定義和實施了程序以保護用于保護存儲數(shù)據免遭泄露和濫用的加密密鑰��? 38. 加密密鑰是否存儲在至少具有雙保管人的最不可能的位置? 39. 您是否在所有適當?shù)尿寗悠魃鲜褂萌疟P加密�����? 40. 您是否在動態(tài)中使用安全加密(至少是傳輸層安全性(TLS)1.1 或更高層����? 41. 是否所有非控制臺管理訪問都使用強加密技術進行加密����?? 42. 您是否定期執(zhí)行有針對性的威脅搜尋? 43. 您是否攝取了當前的威脅情報(最好來自多個來源)�����,并制定了基于良好威脅情報實施快速對策的程序���? 44. 它是否包括執(zhí)行例行的暗網偵察����,以了解暗網上存在的有關您的品牌和企業(yè)結構的內容����? 45. 您是否密切監(jiān)控所有供應商和第三方供應鏈連接,以發(fā)現(xiàn)合規(guī)性和不良問題?? 46. 您是否每年至少進行一次由第三方進行的滲透測試�����? 47. 您是否在30天內執(zhí)行例行漏洞掃描并修復通用漏洞評分系統(tǒng)(CVSS)評分為4或更高的所有漏洞�����,并在90天內修復所有其他漏洞��? 48. 您是否定期掃描面向互聯(lián)網的基礎設施以查找滲透和漏洞�? 49. 您是否與內部和外部審計師一起執(zhí)行年度業(yè)務影響分析/風險分析報告?? 50. 您是否有至少每年更新一次�����,并被其適用各方理解的企業(yè)安全政策�? 51. 您是否有正式的變更控制政策?? 52. 限制對服務器�����、控制臺����、備份和網絡設備的物理訪問的流程和機制是否到位并得到適當保護����? 53. 是否實施了物理和/或邏輯控制����,以限制在設施內使用可公開訪問的網絡接入點?? 54. 您是否有每年審查和實踐的良好網絡事件響應計劃(CIRP)��?CIRP應定期更新�����,核心和擴展事件響應團隊應至少每年使用桌面或功能網絡安全練習來實踐響應���。 55. 您是否有處理常見網絡安全事件的技術說明的劇本?? 56. 您是否有整個網絡(包括WiFi)的完整圖表��? 57. 您是否擁有所有資產的完整清單�����,包括業(yè)務關鍵級別�、所有者、共同所有者和恢復策略���?此清單是否包括包含恢復時間段的指導說明����? 58. 你有全套的數(shù)據流圖嗎?? 59. 您是否使用組織頂尖業(yè)務的文件完整性監(jiān)控 (FIM)�? 60. 機密數(shù)據的存儲是否保持在最低限度,并在不再需要后安全刪除�����? 61. 您是否需要在整個網絡中進行數(shù)據分類�? 62. 您是否在機密數(shù)據所在的任何位置部署了網絡和基于云的數(shù)據丟失防護(DLP) 程序? 63. 您是否防止機密數(shù)據復制到外部設備以及外部設備連接到終端��?? 64. 是否定義和理解了開發(fā)和維護安全系統(tǒng)和軟件的過程和機制��? 65. 軟件開發(fā)人員是否定義并使用軟件工程技術或其他方法來防止或減輕所有軟件中的常見軟件攻擊和相關漏洞���? 66. 關于面向公眾的網絡應用程序�����,是否正在不斷解決新的威脅和漏洞��? 67. 這些應用程序是否受到保護以免受攻擊�����? 68. 預生產環(huán)境是否與正式生產環(huán)境分開���,是否通過訪問控制強制實施分離�����?? 69. 是否所有移動設備都受有效的移動設備管理(MDM)策略的約束����? 70. 您是否禁止不受企業(yè)安全機制控制的移動設備的任何連接? 那么,你找到熵了嗎��?您是否找到了可以包含在深度防御(DiD)網絡安全策略中的其他保護層�����?請記住�����,您對這些問題的回答僅反映一個時間點����。事物隨時間而變化——熵發(fā)生����。技術在變化�����,戰(zhàn)略在變化���,威脅實施者會持續(xù)取得進步并磨練他們的技能����。 還值得記住的是�����,雖然列表中的每個項目都可以降低風險���,但即使您可以自信地對所有70項做出肯定的回答��,您也沒有消除所有風險����。那些尚未解決的問題都應當盡快添加到您的網絡安全路線圖中。
|
