网络卫生:5先进策略来最大限度地减少你的风险

在网络卫生系列的第二部分,我们看看为什么企业可能需要超越基本的漏洞扫描和防病毒保护,确保全面的安全网络。

所有的公司都可以显著提高通过实现网络安全的基本要素——信息安全漏洞扫描补丁程序,反病毒和反恶意软件工具,防火墙和全公司安全政策的最佳实践。这些都应该是为贵公司标准程序,考虑到风险企业面临今天(这是相当大的,正如我们在本系列的第一部分中看到)。

也就是说,这些措施不应该组织的最要紧的事,终结,至少不全面。在第二部分的深入探讨网络卫生,我们将看一看更重要的(在某些情况下,更复杂的)因素时你应该考虑设计一个真正有效的信息安全策略为您的业务。

建立threat-severity评估

确定威胁的严重程度是关键,如何快速您需要解决一个给定的脆弱性。“尽快”似乎是一个合理的规则,但很快就会变得不可持续和定期公布的漏洞。微软每个月定期发布补丁了100漏洞。仅在去年,超过18350新的漏洞据报道整个景观更广泛的威胁。

最基本的网络威胁评估的标题是普通危险得分系统(CVSS),这是由事件反应和安全队的论坛(第一次)。¹虽然值得一看作为基准,它有一定的缺陷,使其无法在一个漏洞评估系统——尤其是其严格关注技术的影响,而不是现实的威胁等级。²超过13%的60000漏洞被CVSS分数为9.0(高)或10.0(关键),这使得组织很难正确优先威胁。

企业可以最大限度地减少他们的风险,采用基于实时的动态威胁指标攻击者活动。例如,站不住脚的脆弱性优先级评级(冲程体积)包含了各种威胁情报信号,如利用黑暗装备可用性和网络聊天——做一个知情的关于漏洞攻击者最有可能利用投影。通过这种方式,您占了漏洞,随着时间的推移变得或多或少的危险。一旦你知道哪些风险优先级,你可以使用一个资产临界评级(ACR)进一步完善补救工作,识别最关键业务主机先修复。

依靠全面的攻击向量分析

因为你有很多其他的事情要考虑运行一个业务时,人们可能会坚持基本矫正某些漏洞。在少数情况下,将所有你需要做的,应用一个补丁或实现另一个合适的解决方案,继续前进。但是如果你花时间去仔细地看清楚这件威胁识别和拦截过程中在你应用补丁或实现任何其他必要的修复,你可能显著降低的可能性,在未来类似的漏洞。

流程喜欢威胁建模和渗透测试是有价值的,因为他们允许您检查到底有一个特定的漏洞,如果利用,将损害你的网络——明确的细节。一个渗透测试可能特别有用,因为它本质上作为一个生活、实时演示如何利用一个网络攻击漏洞。这种类型的细粒度的细节可以帮助组织确定其网络安全战略应该是什么样子。³与此同时,解决某些网络威胁的危险,如ransomware,不仅需要修补漏洞,还准备一系列的为您的数据备份和应急计划。⁴

设置安全配置

主机和应用程序的行为是通过配置决定的。你可能会想象,这些初始预设来自制造商和开发商,并经常对易用性而非最优安全工程。⁵

检查硬件和软件的配置您的网络并改正任何与安全相关的缺点可以对提高您的业务的整体网络安全的状态。基准测试中心的网络安全(CIS)和国防信息系统局(DISA)可以作为强大的理想标准配置:这些指导原则可用于许多操作系统和应用程序,虽然全面,他们不是专为专家使用(虽然你可能需要与顾问合作实现如果你没有一个IT团队工资)。

为最优合规审计

这段网络安全不关注发现,建模或消除漏洞,而是确保系统符合各级政府和行业标准。最明显的例子,这个问题的重要性,特别是对于中小型企业(smb)PCI DSS的指导方针:几乎每一个商业接受信用卡和借记卡支付,如果你不适当保护支付数据,你不仅让客户身份盗窃,还让自己不服从处罚。⁶

应用了相同的风险,在不同程度上,其他值得注意的规定,包括HIPAA、GDPR(企业与欧洲商业交易)和加州消费者隐私法案》(如果你有客户或业务合作伙伴在金州)。进行彻底的合规审计不时地确保敏感客户信息保护和提供了一个坚实的基础维护法规遵从性和减少你遇到网络威胁的机会。

管理多样化的资产

制作一个更微妙的网络安全策略也必须扩展到资产你可能不认为每天但仍然极其重要的操作。如果你使用任何云存储,提供者可能会掩盖一些基地就安全而言,⁷但这不是保证,所以你需要检查你的服务水平协议和条款知道安全的责任你将覆盖。作为一个经验法则,你的云提供商处理安全性”的云”(保护运行所有的基础设施提供的服务提供者)当你负责安全“在云中”(配置和管理任务以及应用程序更新和补丁等项目)。类似的逻辑也适用如果使用虚拟专用网络(vpn)对于某些数据传输,或依赖于移动设备管理(MDM)监督公司选择的智能手机平台。你必须确定安全的这些工具需要设置自己和多少(如果有的话)是集成到系统中。

最后但并非最不重要,你应该考虑检查关键应用程序和创建一个“allowlist”——的政策确保只有应用程序列表批准工具可以运行在您的系统上。⁸虽然这可能需要一段时间来建立,它必须覆盖应用程序控制器和服务器级别,在数据库和个人电脑和其他设备,它允许的程度的保护是值得的。

在一天结束的时候,你应该考虑适当的网络卫生业务的最佳实践之一,与其他日常实践,比如适当的会计,典型客户服务和维护员工士气很高。

_{1。第一个主页
2。卡内基梅隆大学,“改善CVSS”, 2018年12月
3所示。,“TechTarget渗透测试”
4所示。证券交易委员会”,网络安全:Ransomware警报”,7月10日,2020年
5。网络安全中心“安全配置的硬件和软件在移动设备上,笔记本电脑、工作站和服务器。”
6。一种总线标准,“为什么安全问题”
7所示。亚马逊网络服务,“共同责任模式”
8。网络安全和基础设施安全机构,“网络要素”}