網絡安全加固
網絡安全加固是一種全面的方法,可以保護貴組織免受入侵者的攻擊,并降低風險,同時可以通過縮小攻擊面,減少薄弱環節。
加固(或系統加固)考慮到了攻擊者爲闖入系統而可能觊觎的所有漏洞和入口點。雖然力求創新、下定決心的網絡犯罪分子會尋找任何機會來突破貴組織的安全防線以達到其目的,但加固會盡可能縮小攻擊面,并給攻擊者的行動加大難度。
加固的若幹好處
系統加固不僅僅是一勞永逸的操作,它更需要持續不斷的努力。然而這麽做并非毫無意義,因爲加固後的系統帶來了諸多好處,包括如下:
通過最佳實踐增強系統功能,并減少程序和不必要端點的漏洞。因此,組織可以減少操作問題和不兼容的地方、降低錯誤配置的風險并減少摩擦或阻力。
通過縮小攻擊面來提高安全級别。組織和最終用戶可以降低數據洩露、惡意軟件、未經授權的帳戶訪問及其他惡意活動的風險。
由于降低了環境複雜性,簡化了合規和審計。加固可以消除冗餘或不必要的系統、帳戶和程序,從而獲得更穩定的配置和更透明的環境。
加固的類型
加固是一個涉及多方面的主題,組織在設計或修改安全策略時,加固可能會讓組織犯難。需要留意不同類型的加固,它們可以分爲五大類别:配置加固、應用程序加固、軟件加固、操作系統加固和服務器加固。
1. 配置加固
配置是現代系統的一個重要組成部分,充當指示系統各要素該如何運行的指标和參數。加固配置要素從評估系統的可定制組件的狀态和依賴關系入手。
比如說,将所有服務器端口配置爲一直處于敞開狀态會誘使犯罪分子進入系統,使用他們找到的任何内容以謀取私利。當然,關閉所有端口也并不可行。加固可以找到安全和功能之間的 " 契合點 "。
實現配置加固需要時間,因爲您需要評估環境各要素,并在采用配置和相互依賴關系之前先進行測試。這可能意味着根據環境和需求,在計劃停運時間内測試和實施變更。
應留意配置漂移問題,即系統不可避免地偏離事先确立的公司标準。記錄下這些變更,并驗證策略更新或确保它們重新合規。
2. 應用程序加固
應用程序在現代世界扮演着重要的角色。2022 年第二季度,谷歌 Play 商店上有 350 萬個應用程序,蘋果應用商店上有 220 萬個應用程序。谷歌的應用程序下載量最高(2022 年第三季度達 277 億人次),而蘋果的收入最高(2022 年第三季度達到 212 億美元)。
鑒于使用方面有這樣的數據,應用程序安全性是許多最終用戶最關心的問題,尤其是由于他們通過應用程序接口提供個人數據或支付信息。
應用程序加固是指通過提高安全和消除漏洞來保護應用程序免受入侵者的攻擊。以應用程序爲例,這可以分爲三大方面:
了解應用程序方面的威脅情況,以便做出更明智的預防決策。
要有全面的檢測流程以阻止發生的網絡攻擊。這包括特權升級檢測、識别用戶何時通過應用程序登錄授予了對系統的特權訪問。破解設備或獲得設備的 root 權限加大了威脅風險。特權升級檢測會在系統的 root 權限受到威脅時向管理員發出警報。
若要防止應用程序層面的攻擊,請考慮采用最佳實踐,包括采用密碼、應用程序允許列表和身份驗證加固(比如實施擊鍵記錄防禦和檢測措施)。
應用程序加固包括内部應用程序和第三方應用程序,上述步驟應考慮到應用程序具有的廣度。若要加固環境中的應用程序,應采用最佳實踐,包括如下:使用防火牆、安裝自動更新和補丁、使用防病毒軟件、存儲和加密憑據、在開發周期期間進行靜态應用程序安全測試(SAST)以及進行持續的動态應用程序安全測試(DAST)。
3. 軟件加固
在現代員工隊伍中,應用程序和軟件共同滿足最終用戶的各種需求。因此,加固應用程序的重要性擴展到了在貴組織中運行的應用程序。如果貴組織編寫自己的軟件或定制現成的軟件包,尤其如此。
加固軟件主要分爲三個階段:
分析——包括靜态分析和動态分析,以發現和糾正漏洞,并且審計軟件應用程序和開發工作流程的當前範圍和風險概況。
轉換——使用多樣化和混淆技術來挫敗攻擊。
監控——支持持續的評估和保護,包括警報或觸發行動,以保護關鍵系統或數據。
被利用的軟件漏洞可能會導緻嚴重後果、破壞組織運營,而軟件加固有助于防止關鍵數據落入壞人之手。
4. 操作系統加固
加固環境的一個重要方面是在操作系統層面。操作系統加固對于網絡安全策略的有效性至關重要,可以與軟件加固和應用程序加固結合使用。
實際上,操作系統加固使用補丁和安全協議來保護操作系統。操作系統加固側重于加大保護軟硬件資産的力度,從而在各個層面最大限度地提高保護。
操作系統加固程序應考慮以下要素:
防火牆配置——将流量限制在必要的端口上,并将進出流量控制在正常業務操作所需的範圍内。
定義用戶角色——創建策略和訪問級别,将用戶限制在執行工作所需的必要功能。
保護所有系統免受常見威脅——使用反惡意軟件和端點檢測及響應解決方案。
隔離——通過盡可能隔離工作負載和數據來保護環境。
消除不必要的部件或組件——這包括應用程序、端口、資源、外設和操作系統功能。
補丁和更新——盡可能使用自動補丁和更新安裝。無法實現自動更新時,請确保手動部署更新。
制定工作流程——這包括對操作系統的持續監控和定期評估。
每個操作系統都有相應的細節需要操作系統加固。MacOS、Windows 和 Linux 系統都有不同級别的開箱即用和預期網絡安全保護,因此确保貴組織的策略考慮到這些個性化的需求。
5. 服務器加固
貴組織的服務器好比守門人,負責看護環境中所有寶貴的、有價值的東西。
服務器加固旨在爲服務器端口、權限、功能和組件确保安全,以縮小攻擊面。真正的服務器加固依賴考慮每台服務器需求的安全框架。比如說,由于可訪問性和功能,Web 服務器與數據庫服務器有不同的安全需求。
考慮以下幾個關鍵方面來幫助入手服務器加固:
通過更改默認訪問憑據和删除默認帳戶來保護帳戶和登錄,禁用訪客帳戶和供應商帳戶。
關注組件和子系統,關閉不必要或不使用的服務,包括驅動程序、腳本、文件系統、子系統和功能。Windows 服務器應該隻擁有環境所需要的活躍角色和功能。在 Linux 服務器中,禁用不必要的守護進程,并删除多餘的軟件包。
優先考慮更新和補丁以防止漏洞,并确保這包括服務器應用程序和操作系統。
關注網絡和防火牆,僅發布功能和軟件所需的端口,從而爲它們确保安全。檢查端口配置、邊界和網絡防火牆,隻允許必要的流量進出。
保護遠程訪問,因爲遠程桌面協議(RDP)在任何環境中都是最受攻擊的子系統之一。如果可能的話,通過 VPN 限制 RDP 訪問,而不是從互聯網直接訪問。Linux 支持通過 SSH 進行遠程訪問,因此僅爲來自特定 IP 地址的連接配置允許列表(allowlist),并禁用遠程登錄。
執行漏洞掃描,以檢查(并重新檢查)丢失的補丁或現有的錯誤配置,以免服務器暴露在威脅的面前。
對服務器應用程序進行應用程序加固至關重要。從供應商提供的應用程序安全指南入手,如果貴組織已開發了内部服務器應用程序,應執行滲透測試以發現和修複漏洞。
使用安全配置管理(SCM)進行防護
網絡安全中的系統加固是一種涉及多方面的方法,環境的安全性完全取決于最薄弱的那個環節,即最缺乏保護的那個要素。
要實現并保持安全,必須遵循最佳實踐,比如本文介紹的那些實踐,并持續監控和評估,以觀察有無任何異常。借助安全配置管理(SCM)之類的工具,可以大大減少這方面的工作量。
SCM 通過監控資産并在需要注意時發送警報,有助于在整個環境中建立和維護安全基準。該平台還可以通過全球标準或定制策略來确保持續合規,那樣貴組織就可以高枕無憂了。