企业攻击面管理的 7 个实践

段铁兴

遵循攻击面管理的一些优秀实践可以最大限度地减少漏洞，并减少威胁行为者危害企业网络和设备的机会。

更多的云计算解决方案、远程工作系统以及连接互联网的设备会增加网络攻击面扩大的风险。减少漏洞数量的最佳方法是建立适当的企业攻击面管理程序。

以下是构建企业攻击面管理程序时需要考虑的一些优秀实践。

映射攻击面

要进行适当的防御，企业必须了解数字资产暴露的内容，网络攻击者最有可能以网络为目标的位置，以及需要采取哪些保护措施。因此，提高网络攻击面的可见性并采用应对攻击漏洞的有力措施至关重要。要查找的漏洞类型包括较旧且安全性较低的计算机或服务器、未打补丁的系统、过时的应用程序和暴露的物联网设备。

预测建模有助于创建对可能发生的事件及其风险的真实描述，进一步加强防御和主动措施。一旦了解了风险，就可以对攻击事件或数据违规之前、期间和之后会发生的情况进行建模。可以预期有什么样的经济损失？企业的声誉会受到什么损害？企业会丢失商业情报、商业机密或更多数据吗？

SANS 公司新兴安全趋势主管 John Pescatore 说：“成功的映射攻击面策略非常简单——了解需要保护的内容（准确的资产清单）、监控这些资产中的漏洞并使用威胁情报来了解攻击者如何利用漏洞攻击这些资产，这 3 个阶段中的每一个阶段都需要拥有熟练的安全技术员工，以跟上这 3 个领域的变化速度。”

最小化漏洞

一旦企业映射了攻击面，就可以采取行动以减轻最重要的漏洞和潜在攻击向量所构成的风险，然后再继续执行较低優先级的任务。

大多数网络平台供应商现在都提供一些工具来帮助最小化攻击面。例如，微软公司的攻击面减少（ASR）规则允许用户阻止攻击者常用的进程和可执行文件。

大多数违规是由人为错误造成的，因此，建立安全意识和培训员工是减少漏洞的另一个关键。企业采用哪些政策可以帮助掌握个人和工作安全？他们知道需要什么吗？他们应该使用哪些安全实践？失败将如何影响他们的业务？

并非所有漏洞都需要解决，有些漏洞无论如何都会持续存在。可靠的网络安全策略包括识别相关来源，找出更有可能被利用的来源，这些是应该处理和监控的漏洞。

大多数企业允许的访问权限超过员工和承包商所需的访问权限，适当范围的权限可以确保帐户遭到破坏也不会中断或者造成重大损害。对关键系统的访问权限进行分析，然后将每个人和设备的访问权限限制在他们需要保护的资源上。

建立强大的安全实践和政策

遵循安全最佳实践将会显著减少企业的攻击面。这包括实施入侵检测解决方案、定期进行风险评估以及制定明确有效的政策。

以下是一些需要考虑的实践：

使用强大的身份验证协议和访问控制进行健康的帐户管理;

建立一致的修补和更新策略;

维护和测试关键数据的备份;

对网络进行分段，以在发生漏洞时将损坏降至最低;

监控和淘汰旧设备、设备和服务;

在可行的地方使用加密;

制定或限制 BYOD 政策和计划。

建立安全监控和测试协议

强大的网络安全计划需要不断调整，需要持续监控和定期测试，后者通常通过第三方渗透测试服务。

监控通常通过自动化系统完成，如安全信息和事件管理软件（SIEM），将主机系统和应用程序生成的日志数据收集到网络和安全设备，例如防火墙和防病毒过滤器。然后，安全信息和事件管理软件（SIEM）识别、分类和分析事件，并对其进行分析。

渗透测试旨在揭示关键漏洞的模拟攻击，测试应涉及企业网络和 BYOD 的核心元素以及供应商正在使用的第三方设备。移动设备约占企业数据交互的 60 %。

强化电子邮件系统

网络钓鱼是网络攻击者入侵企业网络的常见方式。然而，一些企业尚未完全部署限制员工收到恶意电子邮件数量的电子邮件协议。这些协议包括：

发件人策略框架（SPF）可以防止对合法电子邮件返回地址进行欺骗;

域密钥识别邮件（DKIM）可以防止“显示发件人”电子邮件地址的欺骗，即收件人在预览或打开邮件时看到的内容;

基于域的邮件身份验证、报告和一致性允许设置有关如何处理由 SPF 或 DKIM 识别的失败或欺骗电子邮件的规则。

Aetna 公司前首席信息安全官 Pescatore 表示：“如果企业管理层支持进行所需的更改，能够保证业务收益超过安全成本，从而使企业转向安全软件开发，并实施强大的电子邮件身份验证。”

了解合规性

所有企业都应制定政策和程序来研究、确定和理解内部和政府标准。目标是确保所有安全策略都符合要求，并且对各种攻击和违规类型都有适当的响应计划。

企业还需要建立一个工作组和战略，以便在新政策和法规生效时对其进行审查。与合规性对于现代网络安全策略一样重要，但这并不意味着它应该是优先事项。Pescatore 说，“合规性往往是第一位的，但几乎 100 %发生信用卡信息泄露的公司都符合 PCI 合规性，然而它们并不安全。”

聘请审计人员

在评估企业攻击面时，即使是最好的安全团队有时也需要获得外部帮助，聘请安全审计人员和分析师可以帮助企业发现可能会被忽视的攻击媒介和漏洞。

他们还可以协助制定事件管理计划，以应对潜在的违规和攻击。很多企业没有为网络安全攻击做好准备，因为他们没有制衡和衡量网络攻击的政策。