有些人可能想知道为什么会发生这么多网络事件. 毕竟, 在理论上, 每个人都可以遵循蓝图,设计出防弹的网络安全. 不幸的是, 没有单一的方法可以使网络安全立于不败之地,而且可能永远也不会有. 事实上, 没有可以采取行动的途径, 花费的资金或使用的技术可以消除与网络安全相关的所有风险. 风险的来源和程度随着威胁形势的变化而不断变化, 威胁行为者继续部署新技术并利用新发现的漏洞.
网络安全熵
网络世界类似于熵的概念1 在物理. 熵是系统无序度的度量. 熵越高,系统就越无组织. 一般来说,在熵的情况下,随着时间的推移,所有的事物都变得不那么有组织. 在保护网络安全时,这当然是正确的. 随着时间的推移,威胁行为者通常会变得更加有组织,为了跟上步伐,需要降低风险.
实际上,每个网络都会经历安全熵. 即使一个澳门赌场官方下载已经尽了一切可能来降低风险, 随着时间的推移, 更多的漏洞(以及由此产生的风险)被暴露出来. 数据试图逃逸,换句话说,稳定的事物变得不稳定, 它们经历熵. 系统和安全措施变得更缺乏组织性,更混乱,并受到更多的熵.
即使一个澳门赌场官方下载已经尽了一切可能来降低风险, 随着时间的推移, 更多的漏洞(以及由此产生的风险)被暴露出来.
70层防御
可以问70个问题来确定澳门赌场官方下载是否涵盖了大多数防御原则,并已采取措施降低与网络安全相关的风险(和熵).
如果你对以下70个问题的回答是肯定的, 那么你就大大降低了网络安全风险. 即便如此,风险仍然存在,必须持续监控和减轻熵. 没有具体的层数可以消除所有风险, 就像物质宇宙中没有任何东西不经历熵一样.
以下70个问题排名不分先后:
培训
1. 你们是否经常对终端用户进行强大的网络安全意识培训?
2. 你有没有教过每个人如何安全地存储密码或密码短语?
3. 你们是否每季度进行反网络钓鱼、诈骗和钓鱼活动?2
4. 组织中的每个人都了解与网络安全相关的风险吗, 威胁行为者使用的常见策略以及如何报告任何可疑活动以进行进一步调查?
访问控制
5. 是否所有供应商默认帐户都已更改或禁用?
6. 是否只有必要的服务、协议、守护进程3 以及启用的功能?
7. 是否删除或禁用了所有不必要的功能?
8. 雇佣终止后,所有账户是否立即被禁用或删除?
9. 是否所有屏幕空闲时间都设置为15分钟,是否需要重新认证才能解锁?
最终用户
10. 您是否为终端用户提供保存所有密码的工具(最好是基于云的家庭和工作使用工具)??
11. 您是否开发了管理员(admin)和用户密码或口令策略,以避免使用常见或易于猜测的密码?
结束点
12. 是否所有端点日志都由基于威胁参与者活动和启发式的威胁情报和人工智能(AI)的智能技术摄取?
13. 您是否加固了所有端点并删除了作业功能不需要的所有内容?
14. 你有下一代反恶意软件保护(e)吗.g., 管理检测和响应, 扩展探测和响应, 端点检测与响应4 在使用基于威胁情报的安全分析平台和内置安全上下文的所有端点上?
15. 您是否阻止非澳门赌场官方下载控制和安全设备连接到您的网络的任何部分?
16. 当不连接到澳门赌场官方下载网络时,是否所有端点都有用于访问Internet的个人防火墙?
17. 是否所有端点都安装了防病毒软件,该软件不能被禁用,并在有新的更新可用时自动更新?
18. 是否所有终端都安装了下一代反恶意软件应用程序?
事件管理
19. 所有日志是否保存至少2年?
20. 是否所有设备都产生日志?
21. 所有日志是否每天都由内部和/或外部来源审查?
22. 您是否有一个成熟且组织良好的网络安全事件响应(内部或与第三方联合)来彻底调查所有事件?
安全体系结构
23. 你是否只给予员工执行其工作职能所需的工具和访问权限, 没有别的了?
24. 你是否利用了最小特权原则?
25. 您是否部署了零信任模型?
26. 您是否需要对网络外的所有连接进行多因素身份验证(MFA)?
27. 您是否需要MFA让内部经过身份验证的网络用户访问网络中的关键基础设施和数据(i.e.皇冠上的宝石)?
28. 您是否按照允许您快速为网络上的每个帐户进行密码重置的顺序管理所有凭据? (这包括服务帐户.)
29. 您最近是否评估了活动目录以确保其正确配置和安全?
30. 您是否主动监视活动目录的安全性?
31. 除非另外授权,您的外围防火墙是否有拒绝所有规则?
32. 您的非军事区(DMZ)是否安全?
33. 是否确保DMZ上没有数据、数据库或存储的帐户?
34. 是否部署了防欺骗技术,防止伪造IP地址进入网络?
35. 你是否阻止内部IP地址和路由信息在互联网上的泄露?
36. 您是否使用限制性防火墙将关键基础设施与网络的其他部分分隔开.g.(分割WiFi,机密数据,虚拟机和打印机远离皇冠珠宝)?
密码学
37. 是否定义和实施程序来保护用于保护存储数据的加密密钥免遭泄露和滥用?
38. 加密密钥是否存储在尽可能少的位置,并且至少有两个保管人?
39. 您是否在所有适当的驱动器上使用全磁盘加密?
40. 您是否在运动中使用安全加密—至少是传输层安全(TLS) 1.1或更高?
41. 所有非控制台管理访问是否使用强加密进行加密?
威胁
42. 你们会定期执行目标威胁搜索吗?
43. 你是否吸收了当前的威胁情报(最好是来自多个来源),并有一个程序来实施基于良好威胁情报的快速对策?
44. 它是否包括执行常规的暗网侦察,以了解暗网上存在的关于你的品牌和澳门赌场官方下载结构的信息?
45. 你们是否密切监控所有供应商和第三方供应链的合规性和不良问题?
测试
46. 你是否每年至少进行一次由第三方执行的渗透测试?
47. 您是否进行常规漏洞扫描并在30天内修复所有具有通用漏洞评分系统(CVSS) 4分或以上的漏洞, 在90天内修复所有其他漏洞?
48. 您是否定期扫描面向internet的基础设施以查找渗透和漏洞?
49. 你是否与内部和外部审计师进行年度业务影响分析/风险分析报告?
政策
50. 您是否有至少每年更新一次的澳门赌场官方下载安全策略,并且适用该策略的各方都能理解该策略?
51. 你有正式的变更控制政策吗?
物理
52. 是否有限制对服务器的物理访问的流程和机制, 游戏机, 备份和网络设备到位并妥善保护?
53. 是否实施了物理和/或逻辑控制来限制设施内公共网络插口的使用?
计划
54. 您是否有一个良好的网络事件响应计划(CIRP),每年进行审查和实践? CIRP应定期更新, 核心和扩展事件响应团队应至少每年使用桌面或功能网络安全演习进行响应.
55. 你们有处理常见网络安全事件的技术指导手册吗?
库存
56. 你有包括WiFi在内的整个网络的详细图吗?
57. 您是否拥有包含业务临界级别的所有资产的完整清单, 主人, 共有人与修复? 该清单是否包括恢复周期的说明?
58. 你有一整套数据流程图吗?
数据管理
59. 您是否利用了组织的“皇冠上的宝石”——文件完整性监控(FIM)?
60. 机密数据的存储是否保持在最低限度,并在不再需要时安全地删除?
61. 您是否需要对整个网络进行数据分类?
62. 您是否在任何有机密数据的地方部署了网络和基于云的数据丢失预防(DLP)程序?
63. 您是否防止机密数据被复制到外部设备和外部设备连接到端点?
软件开发
64. 开发和维护安全系统和软件的过程和机制是否被定义和理解?
65. 软件开发人员是否定义并使用软件工程技术或其他方法来防止或减轻所有软件中的常见软件攻击和相关漏洞?
66. 关于面向公众的web应用程序, 新的威胁和漏洞是否在持续的基础上得到解决?
67. 这些应用程序是否受到攻击保护?
68. 预生产环境是否与生产环境分离, 是否通过访问控制来强制分离?
移动设备
69. 是否所有移动设备都由有效的移动设备管理(MDM)策略管理?
70. 您是否禁止任何不受澳门赌场官方下载安全机制控制的移动设备的连接?
结论
那么,你找到熵了吗? 您是否发现了可以包含在深度防御(Did)中的额外保护层?5 网络安全策略? 记住,你对这些问题的回答只反映了一个时间点. 事物随时间变化,熵发生了. 技术变化, 策略的改变, 威胁行为者不断进步,不断磨练他们的技能.
同样值得记住的是,虽然清单上的每一项都能降低风险, 即使你能自信地肯定地回答所有70个问题, 你还没有消除所有的风险. 如果还有没有解决的问题, 它们可能值得尽快添加到您的网络安全路线图中.
尾注
1 OpenStax。”12.热力学第二定律:熵,” 物理
2 互联网安全中心(CIS)钓鱼和钓鱼:你需要知道的, 2023年2月
3 麸,P.; “守护进程,” TechTarget
4 海耶斯,N.; “功能与. MDR vs. XDRCrowdStrike, 2023年4月18日
5 互联网安全中心,”选举安全焦点深度防御(DiD)”
帕特里克·巴内特, CISA, CISM, CEH, CISSP, PCI QSA, PCIP
是Secureworks的事件响应首席顾问吗. 他拥有超过30年的网络安全专业经验,专门从事网络工程,专注于安全. 在以前的角色中, 他曾担任首席信息安全官(CISO)和首席信息官(CIO),并曾在一家大型金融澳门赌场官方下载担任副总裁. Barnett热衷于看到网络安全得到正确的处理,并致力于帮助组织制定适当的政策, 响应任何大小的安全事件的过程和机制.