網絡攻擊的頻率和復雜性都在不斷增加，究其原因包括專業型惡意行為者日漸增多、勞動力和保護技術愈發分散，以及可能在不知不覺中充當攻擊“入口”的設備和用戶也在日益增加。

盡管我們無法從根本上避免企業遭受網絡攻擊，但通過建立多種物理和技術保護措施可以更好地保護網絡數據。

[[426865]]

本文將幫助安全團隊了解如何掌握最新的工具和知識，以應對下一次關鍵的網絡安全威脅。概括來說，針對安全威脅的關鍵保護措施包括：

• 結合零信任和SSL檢查
• 檢查常用應用程序的關鍵組件
• 投資特定于電子郵件的安全工具
• 制定移動設備管理計劃
• 踐行“無密碼”策略并使用UEBA
• 更新您的事件響應計劃
• 定期監控和審核您的網絡
• 制定強有力的數據治理原則
• 就常見威脅媒介對您的團隊進行教育培訓
• 自動化安全管理流程

1. 結合零信任和SSL檢查

零信任——以“從不信任，始終驗證”的新安全架構為基礎的工具和實踐——正迅速成為網絡安全工作中最有效最重要的部分。如今，零信任甚至已經達到美國聯邦政策的水平。2021年5月，美國總統喬·拜登簽署了一項加強美國網絡安全的行政命令，承認聯邦政府現行網絡安全模式的固有弊端，明確指出部署零信任架構的迫切性。

不過，目前許多企業領導者仍對零信任的含義及實踐存在誤解。身份和訪問管理(IAM)公司SecurID的首席產品官Jim Taylor對此給出了詳細解釋，“營銷人員經常在產品宣傳中拋出零信任的概念，在此需要警告大家注意：零信任并非產品、功能或服務。相反地，它是一個努力實現的目標，是一種思維方式。風險不是我們為了追求便利而進行的權衡：這只是一種糟糕的做法。在零信任安全模型中，我們使用基于風險的方法來映射給定事件的頻率、可能性和影響，并優先考慮威脅因素。”

網絡安全公司A10的技術營銷工程師Babur Khan認為，零信任是網絡安全的重要組成部分，它與SSL檢查(SSL inspection)結合使用效果最佳。

Khan解釋稱，“SSL檢查是攔截客戶端和服務器之間的SSL加密Internet通信的過程。它能夠提供深入的流量檢查以及惡意請求的檢測和改進，監控進出網絡的數據進行分析，以及防止DDoS攻擊。拜登總統的行政命令是聯邦政府有史以來提出的影響最深遠的網絡安全基礎設施和網絡攻擊預防戰略，其對零信任架構的推廣是實現其所有目標唯一實用和有效的基礎。結合SSL檢查可以進一步完善該架構，并確保我們的網絡安全和網絡攻擊預防基礎不同于傳統架構，是真正面向未來的。”

2. 檢查常用應用程序的關鍵組件

您的組織最常用的應用程序很可能包含殘留的用戶、權限和過時的安全方法，這些情況都會導致這些工具更易受到攻擊。檢查所有這些應用程序的配置方式，并監控哪些人具有訪問權限以及他們何時及如何使用該訪問權限至關重要。

網絡安全公司Tenable的首席技術和安全策略師Derek Melber為保護流行的Microsoft Active Directory提供了建議，“保持Active Directory安全性的第一步就是確保AD的所有攻擊面都得到適當的保護，這包括用戶、屬性、組、組成員、權限、信任、與組策略相關的設置、用戶權限等等。一個很好的例子是要求對服務帳戶進行強身份驗證并主動管理他們所在的組。這部分意味著強制要求對所有用戶進行多因素身份驗證。在所有端點強制執行最小權限原則，以防止橫向移動、阻止默認管理以及拒絕來自內置本地管理員帳戶的訪問。”

3. 投資特定于電子郵件的安全工具

大量成功的網絡攻擊都是通過授權用戶的不知情行為進入企業網絡的，主要攻擊媒介多為網絡釣魚電子郵件。企業無法確保能夠捕獲每個網絡釣魚實例，但他們可以為電子郵件和其他應用程序添加額外的安全措施，避免內部員工變成外部參與者的攻擊“入口”。

Juniper Networks高級總監Mike Spanbauer認為，在基于通信安全方面做出的努力對于保護企業用戶及企業網絡行為至關重要。他表示，“擁有可以檢查鏈路和任何有效載荷的良好工具至關重要。高質量的下一代防火墻、安全電子郵件解決方案或端點技術也可以成為緩解這種威脅的有效工具。”

4. 創建移動設備和數據管理計劃

大多數企業員工不僅使用公司設備進行辦公，還會使用個人移動設備查看電子郵件、打開協作文檔以及執行其他可能暴露公司敏感數據的操作。

Juniper Networks的Spanbauer表示，確保個人移動設備不會將網絡暴露于不必要的威脅的最佳方法是制定并執行移動設備和數據管理計劃。

Spanbauer解釋稱，“移動技術在處理和收集數據方面的能力正在不斷增強，但許多公司仍然采用自帶設備(BYOD)策略。不過，只要這些設備能夠在可訪問的資源和網絡方面受到嚴格限制和監控，這也沒什么關系。久經考驗的主流數據管理解決方案始終是一個不錯的選擇。此外，對訪客網絡進行有效檢查還有助于防止威脅在設備之間傳播，并保護企業免受潛在威脅影響。”

5. 踐行“無密碼”策略并使用 UEBA

員工經常記不住他們的用戶訪問憑證，為了讓事情變得更容易，他們選擇使用簡單的密碼并將他們的信息存儲在不安全的地方。不良的密碼習慣使企業網絡面臨巨大風險，使惡意行為者有可能從任意數量的用戶那里竊取憑據。

由于大量成功的網絡攻擊案例都是基于憑據盜竊，因此SecurID的Taylor等安全專家鼓勵公司踐行“無密碼”以及用戶和實體行為分析(UEBA)策略以確保用戶帳戶安全。

Taylor表示，“解決(遠程工作者安全漏洞)的一種方法是采用現代安全原則，包括無密碼、基于設備、基于風險和UEBA。這些現代安全原則和技術提高了安全性并改善了用戶體驗。通過簡單地將手機放在口袋里，并以與以往相同的方式執行任務，您可以為用戶創建一種網絡安全立場，這比要求他們記住復雜的密碼容易得多——而且也更安全。”

6. 更新您的事件響應計劃

無論您部署了多少安全基礎設施，每個網絡中仍然可能存在一些最終會淪為黑客攻擊目標的漏洞。大多數企業都犯了一個錯誤，即只是被動地響應這些事件，在安全問題出現時進行處理，而沒有做任何額外的工作、培訓或策略開發，為未來的攻擊做好準備。

網絡安全公司Open Systems的首席信息安全官Ric Longenecker認為，企業首先需要更新他們的事件響應計劃并將其付諸實踐。他表示，“在違規處理期間必須分秒必爭，絕不能浪費寶貴的響應時間，企業應該以協調和有影響力的方式應對攻擊事件。您的SecOps團隊、IT員工和安全合作伙伴需要在發生違規時了解他們的角色、職責和任務，而且最好提前對他們進行“實戰演練”，以了解響應計劃的流程和現實效果。無論是面對勒索軟件還是其他類型的攻擊，快速響應可以決定一次安全事件只是‘麻煩’還是‘災難’。如果您現在還沒有制定事件響應計劃，話不多說，快去制定一個!”

7. 定期監控和審計您的網絡

與創建事件響應計劃一樣，定期監控和審計您的網絡也很重要，這可以確保在小問題變成大問題之前發現并阻止它們。

Open Systems公司的Longenecker解釋了讓您的員工習慣監控和審計工作流程的重要性，“防火墻、防病毒軟件、代理、多因素身份驗證等預防性安全技術是必要的，但還不夠。威脅參與者的格局已經從簡單地開發惡意軟件，發展到現在武器化惡意軟件并使用可信的交付方法來掩蓋其惡意活動。了解您的防護層是否正常工作的唯一方法，就是讓安全專家使用最佳實踐和可重復的流程來持續監控所有潛在的攻擊面，以檢測和響應威脅。許多組織對預防層采取‘一勞永逸’的方法，因此，持續監控已成為通過提供重要的反饋循環來最小化風險的基本要素。要知道，安全是一段旅程，而不是一個目的地。”

8. 制定強有力的數據治理原則

數據安全是更大網絡安全原則的一個關鍵點，數據治理可確保正確的數據獲得所需的保護。

IT和數據中心管理解決方案公司Flexential的網絡安全副總裁Will Bass認為，強大的數據治理涉及在源頭審查數據并持續保護人們避免不必要的數據訪問。

Bass表示，“企業將太多數據存儲了太久。要知道，敏感數據一直是惡意行為者的目標，這無疑增加了企業面臨的風險。減少這種威脅需要良好的數據治理實踐，例如刪除任何不用于提供服務或不滿足監管要求的數據。刪除環境中不需要的敏感數據不僅可以降低被入侵的風險，還可以通過減少基礎設施占用空間以及縮小隱私和其他監管要求的范圍來降低IT成本。”

特別是在大數據時代，區分不需要的數據和需要保護的數據可能具有挑戰性。但是，大型數據管理和云公司NetApp的CISO Seth Cutler認為，一些數據管理最佳實踐會是一個很好的起點。他解釋稱，“看看公司必須管理、存儲、檢索、保護和備份的海量數據。隨著這些數據不斷增長，數據過載對網絡安全的影響也在不斷增加。因此，為數據生命周期管理、數據隱私合規、數據治理和數據保護制定策略至關重要。為了幫助糾正數據過載，公司應考慮數據分類、數據標記以及制定明確的數據保留指導和政策。”

9. 就常見威脅媒介對您的團隊進行教育培訓

企業傾向于將大部分時間和資金投入到正確的網絡安全基礎設施和工具上，卻往往忽略了培訓所有團隊成員如何保護自身和企業免受安全威脅的重要性。

Flexential公司的Bass表示，企業組織有責任就常見的社交工程攻擊和網絡釣魚實踐對所有用戶/員工進行培訓。Bass解釋稱，“人為因素已經成為威脅企業安全的最大威脅之一。隨著邊界防御越來越完備，惡意行為者正在通過企業內部人員越過邊界，使用網絡釣魚和魚叉式網絡釣魚等技術在企業內部站穩腳跟。為了應對這種威脅，企業應該教育他們的員工識別社交工程的跡象，以及一旦他們懷疑有人試圖誘騙他們應該采取什么行動。企業還應該使用這些方法進行定期演習，以檢測其員工的學習成果。”

10. 自動化安全管理流程

盡管自動化并非所有網絡安全問題的答案，但人工智能和機器學習驅動的工具可以更輕松地在云中設置安全監控和其他質量控制措施。

云原生數字取證公司Cado Security的首席執行官兼聯合創始人James Campbell認為，云安全自動化是保護分布式網絡最省時、最具成本效益的方法之一。

Campbel表示，“將自動化納入云調查過程能夠有效地減少了解事件根本原因、范圍和影響所需的時間、資源和金錢。由于當今云中的數據量很大，組織需要適應云速度和規模并具備自動捕獲和處理數據的能力。安全團隊不必擔心需要跨多個云團隊和訪問要求工作，或是他們的調查需要跨多個云平臺、系統和區域的現實。雖然以前所有這些復雜性會拖延調查步伐或完全阻止調查的發生，但自動化通過減少進行調查所需的復雜性和時間成功逆轉了局面。”