在當(dāng)今數(shù)字時(shí)代中對(duì)于企業(yè)來(lái)說(shuō)，抵御網(wǎng)絡(luò)威脅、最大限度地降低風(fēng)險(xiǎn)來(lái)確保組織的持續(xù)生存能力，是尤為重要的。盡管風(fēng)險(xiǎn)因素不斷發(fā)展并變得越發(fā)復(fù)雜，但網(wǎng)絡(luò)安全的一個(gè)真理值得重復(fù)強(qiáng)調(diào)：基本的網(wǎng)絡(luò)安全衛(wèi)生，是可以防止99%的攻擊。

? ?在當(dāng)今數(shù)字時(shí)代，企業(yè)越來(lái)越依賴于技術(shù)和在線系統(tǒng)來(lái)開(kāi)展業(yè)務(wù)。因此，滿足網(wǎng)絡(luò)衛(wèi)生的最低標(biāo)準(zhǔn)對(duì)于防范網(wǎng)絡(luò)威脅、最大限度地降低風(fēng)險(xiǎn)、并確保業(yè)務(wù)持續(xù)可行性至關(guān)重要。 基本安全衛(wèi)生仍然可以有效預(yù)防99%的攻擊¹。每個(gè)組織應(yīng)采用以下最低標(biāo)準(zhǔn)：啟用多因素身份驗(yàn)證（MFA）、應(yīng)用“零信任”原則、使用擴(kuò)展檢測(cè)與響應(yīng)和使用反惡意軟件、時(shí)時(shí)保持系統(tǒng)更新，以及保護(hù)數(shù)據(jù)。 ?

每個(gè)組織應(yīng)采用圖示最低標(biāo)準(zhǔn)

1.

啟用多因素身份驗(yàn)證（MFA）

想要減少對(duì)您賬戶的攻擊？打開(kāi)MFA。顧名思義，多因素身份驗(yàn)證需要兩個(gè)或多個(gè)驗(yàn)證因素。攻擊者破壞多個(gè)身份驗(yàn)證因素的挑戰(zhàn)性會(huì)非常高，因?yàn)閮H僅知道（或破解）密碼并不足以訪問(wèn)系統(tǒng)。啟用MFA后，可以防止99.9%的賬戶攻擊²。

讓MFA變得更加容易

多因素身份驗(yàn)證——雖然聽(tīng)起來(lái)和名字一樣，需要額外的步驟操作，但你應(yīng)該嘗試為員工選擇具有最小阻力的MFA選項(xiàng)。例如在設(shè)備中使用生物識(shí)別技術(shù)，或FIDO2兼容因素，如Feitan或Yubico安全密鑰。避免使MFA變得繁重。

當(dāng)額外的身份驗(yàn)證可以幫助保護(hù)敏感數(shù)據(jù)和關(guān)鍵系統(tǒng)，而非將其應(yīng)用于每個(gè)單獨(dú)的交互程序時(shí)，請(qǐng)選擇MFA。

對(duì)于最終用戶來(lái)說(shuō)，MFA并不一定具有挑戰(zhàn)性。使用條件訪問(wèn)策略，允許基于風(fēng)險(xiǎn)檢測(cè)觸發(fā)雙重驗(yàn)證，以及直通身份驗(yàn)證和單點(diǎn)登錄(SSO)。當(dāng)終端用戶的設(shè)備具有最新的軟件更新版本時(shí)，他們就不必多次登錄以訪問(wèn)公司網(wǎng)絡(luò)上的非關(guān)鍵文件、日歷。用戶也將不需要進(jìn)行90天的密碼重置，這將大大改善他們的體驗(yàn)。

常見(jiàn)網(wǎng)絡(luò)釣魚(yú)攻擊

在網(wǎng)絡(luò)釣魚(yú)攻擊中，犯罪分子使用社會(huì)工程策略，誘騙用戶提供訪問(wèn)憑據(jù)或泄露敏感信息。常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)攻擊包括以下內(nèi)容³ 。

常見(jiàn)的網(wǎng)絡(luò)釣魚(yú)攻擊

2.

應(yīng)用“零信任”原則

零信任是任何彈性計(jì)劃的基石，它限制了對(duì)組織的影響。零信任模型是一種主動(dòng)的、集成的安全方法，它跨越數(shù)字資產(chǎn)的所有層級(jí)，明確且持續(xù)地驗(yàn)證每筆交易，維護(hù)使用最小權(quán)限訪問(wèn)，依賴于情報(bào)、提前探測(cè)、和對(duì)威脅實(shí)時(shí)反應(yīng)。

當(dāng)你采用零信任方法時(shí)，就有可能：

? 支持遠(yuǎn)程和混合工作

? 幫助防止或減少數(shù)據(jù)泄露造成的業(yè)務(wù)損失

? 識(shí)別并幫助保護(hù)敏感的業(yè)務(wù)數(shù)據(jù)和身份

? 在領(lǐng)導(dǎo)團(tuán)隊(duì)、員工、合作伙伴、利益相關(guān)者和客戶中，建立對(duì)安全態(tài)勢(shì)和計(jì)劃的信心

零信任原則是：

假設(shè)違約

假設(shè)攻擊者有能力且可以成功攻擊任何對(duì)象（身份、網(wǎng)絡(luò)、設(shè)備、應(yīng)用程序、基礎(chǔ)設(shè)施等），并做出對(duì)應(yīng)的計(jì)劃。這意味著安全人員需要不斷監(jiān)控環(huán)境，以預(yù)防潛在攻擊。

顯式驗(yàn)證

在允許訪問(wèn)資源之前，確保用戶和設(shè)備處于良好狀態(tài)。驗(yàn)證所有的信任及安全決策過(guò)程中是否已使用相關(guān)可用的信息和遙測(cè)技術(shù)，保護(hù)資產(chǎn)免受攻擊者的控制。

使用最小權(quán)限訪問(wèn)

通過(guò)即時(shí)訪問(wèn)(JIT/JEA)和基于風(fēng)險(xiǎn)的策略（如自適應(yīng)訪問(wèn)控制）來(lái)限制對(duì)潛在受損資產(chǎn)的訪問(wèn)。你應(yīng)該只允許訪問(wèn)資源所需的特權(quán)，而不是其他特權(quán)。

零信任安全層

零信任安全層

安保措施過(guò)多也會(huì)引發(fā)問(wèn)題

過(guò)多的安全性（即對(duì)日常用戶來(lái)說(shuō)過(guò)于嚴(yán)格的安全性）可能導(dǎo)致與最初沒(méi)有足夠安全性相同的結(jié)果，引發(fā)更多的風(fēng)險(xiǎn)。

過(guò)于嚴(yán)格的安全程序會(huì)讓人們難以完成自己的工作，更糟糕的是，它可能會(huì)促使人們尋找“影子IT”解決方案來(lái)完全繞過(guò)安全性屏障：通過(guò)使用自己的設(shè)備、電子郵件和硬盤(pán)工作，使用安全性較低、對(duì)業(yè)務(wù)帶來(lái)更高風(fēng)險(xiǎn)的系統(tǒng)⁴。

3.使用擴(kuò)展

檢測(cè)和響應(yīng)及反惡意軟件服務(wù)

使用軟件來(lái)檢測(cè)和自動(dòng)阻止攻擊，并提供安全操作的相關(guān)洞察。實(shí)時(shí)監(jiān)測(cè)威脅檢測(cè)系統(tǒng)生成的洞察對(duì)于幫助我們及時(shí)響應(yīng)威脅至關(guān)重要。

安全自動(dòng)化和編排最佳實(shí)踐

讓盡可能多的工作自動(dòng)化

在將問(wèn)題發(fā)送給安全運(yùn)營(yíng)分析師之前，選擇并部署一系列的傳感器，讓他們可以自動(dòng)監(jiān)測(cè)并相互關(guān)聯(lián)和相互傳輸其發(fā)現(xiàn)。

自動(dòng)收集警報(bào)

安全運(yùn)營(yíng)分析師應(yīng)該擁有對(duì)警報(bào)進(jìn)行分類和響應(yīng)所需的一切，而無(wú)需執(zhí)行任何額外的信息收集，例如查詢可能脫機(jī)（也可能不脫機(jī)）的系統(tǒng)，或者從資產(chǎn)管理系統(tǒng)或網(wǎng)絡(luò)設(shè)備等其他來(lái)源收集信息。

自動(dòng)設(shè)置警報(bào)優(yōu)先級(jí)

分析人員應(yīng)該利用實(shí)時(shí)分析來(lái)確定事件的優(yōu)先級(jí)，評(píng)估應(yīng)基于威脅情報(bào)、訂閱消息、資產(chǎn)信息和攻擊指標(biāo)。分析人員和事件響應(yīng)人員應(yīng)該關(guān)注最嚴(yán)重的警報(bào)。

自動(dòng)化任務(wù)和流程

首先針對(duì)常見(jiàn)、重復(fù)和耗時(shí)的管理流程，我們首先應(yīng)該標(biāo)準(zhǔn)化響應(yīng)流程。一旦響應(yīng)標(biāo)準(zhǔn)化，就可以自動(dòng)執(zhí)行安全運(yùn)營(yíng)分析師的工作流，在可能的情況下避免任何人工干預(yù)，以便他們能夠?qū)Ｗ⒂诟P(guān)鍵的任務(wù)。

持續(xù)改進(jìn)

監(jiān)控關(guān)鍵指標(biāo)并調(diào)整傳感器和工作流以驅(qū)動(dòng)增量更改

幫助預(yù)防、檢測(cè)和響應(yīng)威脅

通過(guò)利用綜合的預(yù)防、檢測(cè)、和響應(yīng)功能，以及集成的擴(kuò)展檢測(cè)和響應(yīng)(XDR)和安全信息和事件管理(SIEM)功能，來(lái)抵御工作中的各種威脅。

遠(yuǎn)程訪問(wèn)

攻擊者經(jīng)常以遠(yuǎn)程訪問(wèn)解決方案(RDP、VDI、VPN等)為目標(biāo)，進(jìn)入環(huán)境并運(yùn)行正在進(jìn)行的操作，破壞內(nèi)部資源。為了防止攻擊者進(jìn)入，你需要:

?維護(hù)軟件和設(shè)備更新

?強(qiáng)制零信任用戶和設(shè)備驗(yàn)證

?為第三方VPN配置安全方案

?發(fā)布本地web應(yīng)用程序

電子郵件和協(xié)作軟件

攻擊者進(jìn)入環(huán)境的另一種常見(jiàn)策略是通過(guò)電子郵件或文件共享工具傳輸惡意內(nèi)容，然后騙取用戶信任并運(yùn)行它。為了防止攻擊者進(jìn)入，你需要：

?實(shí)施高級(jí)電子郵件安全

?啟用攻擊面縮減規(guī)則，阻斷常見(jiàn)攻擊技術(shù)

?掃描附件是否存在基于宏的威脅

端點(diǎn)

暴露于Internet的端點(diǎn)是攻擊者們最常使用的入口向量，因?yàn)楣粽吣軌蛲ㄟ^(guò)它們?cè)L問(wèn)組織的資產(chǎn)。為了防止攻擊者進(jìn)入，你需要:

?使用針對(duì)特定軟件行為的攻擊面減少規(guī)則來(lái)阻止已知的威脅，例如啟動(dòng)可執(zhí)行文件和試圖下載或運(yùn)行文件的腳本，運(yùn)行模糊或其他可疑腳本，或執(zhí)行應(yīng)用程序在正常日常工作中通常不會(huì)啟動(dòng)的行為

?維護(hù)你的軟件，使其得到更新和支持

?隔離、禁用或淘汰不安全的系統(tǒng)和協(xié)議

?使用基于主機(jī)的防火墻和網(wǎng)絡(luò)防御阻止意外流量

檢測(cè)和響應(yīng)

保持高度警覺(jué)

使用集成XDR和SIEM提供的高質(zhì)量警報(bào)，并最大限度地減少響應(yīng)過(guò)程中的摩擦和手動(dòng)步驟。

清理舊系統(tǒng)

缺乏安全控制的舊系統(tǒng)，如防病毒和端點(diǎn)檢測(cè)和響應(yīng)(EDR)解決方案，可能允許攻擊者從單個(gè)系統(tǒng)執(zhí)行整個(gè)勒索軟件和泄露攻擊鏈。如果不可能為遺留系統(tǒng)配置安全工具，則必須在物理上（通過(guò)防火墻）或邏輯上（通過(guò)刪除與其他系統(tǒng)的憑據(jù)重疊）隔離系統(tǒng)。

不要忽視惡意軟件

經(jīng)典的自動(dòng)勒索軟件可能缺乏動(dòng)手鍵盤(pán)攻擊的復(fù)雜性，但這并不意味著它的危險(xiǎn)性降低。

注意攻擊者禁用安全性

保持監(jiān)測(cè)你的環(huán)境，以防攻擊者禁用安全性（通常是攻擊鏈的一部分)，如清除事件日志，特別是安全事件日志和PowerShell操作日志，以及禁用與某些組關(guān)聯(lián)的安全工具和控件⁵。

4.

時(shí)時(shí)保持系統(tǒng)更新

系統(tǒng)未打補(bǔ)丁或者過(guò)時(shí)，是許多組織被攻擊的主要原因。確保所有系統(tǒng)保持最新?tīng)顟B(tài)，包括固件、操作系統(tǒng)和應(yīng)用程序。

最佳實(shí)踐

?通過(guò)應(yīng)用補(bǔ)丁、更改默認(rèn)密碼和默認(rèn)SSH端口，來(lái)確保設(shè)備的穩(wěn)健性；

?通過(guò)消除不必要的互聯(lián)網(wǎng)連接和開(kāi)放端口，通過(guò)阻止端口限制遠(yuǎn)程訪問(wèn)，拒絕遠(yuǎn)程訪問(wèn)和使用VPN服務(wù)來(lái)減少攻擊面；

?使用物聯(lián)網(wǎng)和操作技術(shù)（IoT/OT）感知的網(wǎng)絡(luò)檢測(cè)和響應(yīng)（NDR）解決方案，以及安全信息和事件管理（SIEM）/安全編排和響應(yīng)（SOAR）解決方案，來(lái)監(jiān)控設(shè)備的異?；蛭唇?jīng)授權(quán)的行為，例如與不熟悉的主機(jī)通信；

?對(duì)網(wǎng)絡(luò)進(jìn)行分段，以限制攻擊者在初始入侵后橫向移動(dòng)和危及資產(chǎn)的能力。物聯(lián)網(wǎng)設(shè)備和OT網(wǎng)絡(luò)應(yīng)通過(guò)防火墻與企業(yè)IT網(wǎng)絡(luò)隔離；

?確保ICS協(xié)議不直接暴露在互聯(lián)網(wǎng)上；

?深入了解網(wǎng)絡(luò)上的IoT/OT設(shè)備，并根據(jù)企業(yè)的風(fēng)險(xiǎn)對(duì)其進(jìn)行優(yōu)先排序；

?使用固件掃描工具了解潛在安全漏洞，并與供應(yīng)商合作確定如何降低高風(fēng)險(xiǎn)設(shè)備的風(fēng)險(xiǎn)；

?通過(guò)要求供應(yīng)商采用安全開(kāi)發(fā)生命周期的最佳實(shí)踐，為IoT/OT設(shè)備安全性帶來(lái)積極影響；

?避免通過(guò)不安全的渠道或向不必要的人員傳輸包含系統(tǒng)定義的文件；

?當(dāng)傳輸此類文件不可避免時(shí)，請(qǐng)確保監(jiān)測(cè)網(wǎng)絡(luò)上的活動(dòng)及確保資產(chǎn)的安全；

?通過(guò)監(jiān)測(cè)EDR解決方案保護(hù)工程站；

?主動(dòng)對(duì)OT網(wǎng)絡(luò)進(jìn)行事件響應(yīng)；

?使用Microsoft Defender for IoT等解決方案部署持續(xù)監(jiān)控⁶。

5.

數(shù)據(jù)保護(hù)

了解重要數(shù)據(jù)的位置、是否安裝了正確的系統(tǒng)，對(duì)于進(jìn)行適當(dāng)?shù)谋Ｗo(hù)至關(guān)重要。數(shù)據(jù)安全挑戰(zhàn)包括：

?減少和管理用戶故障帶來(lái)的風(fēng)險(xiǎn)

?手動(dòng)進(jìn)行用戶分類，在規(guī)模上是不切實(shí)際的

?數(shù)據(jù)必須在在網(wǎng)絡(luò)之外被保護(hù)

?合規(guī)性和安全性需要一個(gè)完整的策略

?滿足日益嚴(yán)格的合規(guī)性需求

數(shù)據(jù)安全縱深防御的五大支柱

現(xiàn)如今，混合工作空間需要從世界各地的多個(gè)設(shè)備、應(yīng)用程序和服務(wù)中訪問(wèn)數(shù)據(jù)。由于存在眾多平臺(tái)和接入點(diǎn)，我們必須有強(qiáng)大的保護(hù)措施來(lái)防止數(shù)據(jù)盜竊和數(shù)據(jù)泄漏。對(duì)于當(dāng)下的環(huán)境，縱深防御方法提供了加強(qiáng)數(shù)據(jù)安全的最佳保護(hù)。該策略有五個(gè)組成部分，都可以按照符合組織需求、遵從法規(guī)要求的任何順序來(lái)進(jìn)行制定。

1. 確定數(shù)據(jù)環(huán)境

在保護(hù)敏感數(shù)據(jù)之前，你需要了解數(shù)據(jù)的位置以及訪問(wèn)方式。這需要完全了解整個(gè)數(shù)據(jù)資產(chǎn)，無(wú)論是本地云、混合云還是多云(Multicloud)。

2. 保護(hù)敏感數(shù)據(jù)

除了創(chuàng)建整體數(shù)據(jù)地圖外，你還需要保護(hù)你的靜態(tài)數(shù)據(jù)和傳輸數(shù)據(jù)。這就需要對(duì)數(shù)據(jù)進(jìn)行準(zhǔn)確標(biāo)記和分類，以便深入了解如何訪問(wèn)、存儲(chǔ)和共享數(shù)據(jù)。準(zhǔn)確地跟蹤數(shù)據(jù)將有助于防止它成為泄漏和破壞的犧牲品。

3. 管理風(fēng)險(xiǎn)

即使對(duì)數(shù)據(jù)進(jìn)行了適當(dāng)?shù)挠成浜蜆?biāo)記，也需要考慮可能導(dǎo)致潛在數(shù)據(jù)安全事件（包括內(nèi)部威脅）的數(shù)據(jù)和適用的用戶場(chǎng)景。將合適的人員、流程、培訓(xùn)和工具結(jié)合在一起，是解決內(nèi)部風(fēng)險(xiǎn)的最佳方法。

4. 防止數(shù)據(jù)丟失

不要忘記未經(jīng)授權(quán)使用數(shù)據(jù)，因?yàn)檫@也是一種損失。一個(gè)有效的數(shù)據(jù)丟失保護(hù)解決方案需要在數(shù)據(jù)保護(hù)和提高生產(chǎn)力之間進(jìn)行平衡。確保適當(dāng)?shù)脑L問(wèn)控制和設(shè)置策略，以防止不正確地保存、存儲(chǔ)或打印敏感數(shù)據(jù)等操作。

5. 管理數(shù)據(jù)生命周期

隨著數(shù)據(jù)治理也轉(zhuǎn)變?yōu)橐环N業(yè)務(wù)團(tuán)隊(duì)，業(yè)務(wù)團(tuán)隊(duì)成為了自己數(shù)據(jù)的管理者，組織必須在整個(gè)企業(yè)中創(chuàng)建統(tǒng)一的方法。這種主動(dòng)的生命周期管理可以帶來(lái)更好的數(shù)據(jù)安全性，并有助確保數(shù)據(jù)以負(fù)責(zé)任的方式為用戶所用，從而推動(dòng)業(yè)務(wù)價(jià)值⁷。

結(jié)論

盡管威脅因素不斷發(fā)展并變得越來(lái)越復(fù)雜，但網(wǎng)絡(luò)安全的一個(gè)真理值得重復(fù)強(qiáng)調(diào)：基本的網(wǎng)絡(luò)安全衛(wèi)生，即“啟用MFA，應(yīng)用零信任原則，保持最新，使用現(xiàn)代反惡意軟件，保護(hù)數(shù)據(jù)”，可以防止99%的攻擊。

我們必須滿足一個(gè)網(wǎng)絡(luò)安全衛(wèi)生的最低標(biāo)準(zhǔn)，來(lái)助力實(shí)現(xiàn)抵御網(wǎng)絡(luò)威脅，最大限度地降低風(fēng)險(xiǎn)，并確保組織的持續(xù)生存能力。

參考資料

[1] 《2023微軟數(shù)字防御報(bào)告》

[2] 《一個(gè)簡(jiǎn)單的行動(dòng)，可以防止99.9%的攻擊你的賬戶》

[3]想了解更多有關(guān)密碼和身份相關(guān)主題的信息，請(qǐng)查看以下微軟資源：《首席信息安全官（CISO）系列：使用分階段的路線圖保護(hù)你的特權(quán)管理賬戶》 、《不斷變化的策略導(dǎo)致商業(yè)郵

件泄露事件激增——網(wǎng)絡(luò)信號(hào)第4期：信心游戲》

[4] 想了解更多有關(guān)零信任主題的信息，請(qǐng)查看以下微軟資源：《為什么選擇零信任 》、《為

企業(yè)采用零信任安全策略的5個(gè)理由?》、《零信任安全狀況評(píng)估》

[5]想了解更多有關(guān)使用現(xiàn)代反惡意軟件的信息，請(qǐng)查看以下微軟資源：《安全操作自我評(píng)估工

[6]想了解更多有關(guān)保持系統(tǒng)更新信息，請(qǐng)查看以下微軟資源：《7種方法加固你的環(huán)境防止被

入侵》、《通過(guò)理解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)變得有彈性：第4部分——應(yīng)對(duì)當(dāng)前的威脅》

[7]想了解更多有關(guān)數(shù)據(jù)保護(hù)的信息，請(qǐng)查看以下微軟資源：《建立信息保護(hù)程序的3種策略》、《啟動(dòng)有效數(shù)據(jù)治理計(jì)劃的3種策略》