預(yù)防勒索病毒與減少受攻擊面密切相關(guān),因為系統(tǒng)的漏洞或薄弱環(huán)節(jié)往往讓勒索病毒有機(jī)可乘。從勒索病毒的防御透視整個企業(yè)的安全防護(hù)可以發(fā)現(xiàn),減少受攻擊面是實現(xiàn)從被動防御到主動安全的必然路徑,也是提升企業(yè)整體安全性的“入口”。
減少受攻擊面是一種安全戰(zhàn)略
所謂攻擊面,是指系統(tǒng)中可被網(wǎng)絡(luò)攻擊者攻擊或利用的所有可能的點或區(qū)域。 通過減少不同的攻擊面,可以有效防止攻擊的發(fā)生。Gartner將攻擊面擴(kuò)展列為“2022年最主要的安全和風(fēng)險管理趨勢”。戴爾科技的調(diào)研顯示,這些極易受到攻擊的“點”主要包括軟件漏洞、配置錯誤、身份驗證機(jī)制薄弱、系統(tǒng)未修補(bǔ)、用戶權(quán)限過多、開放式網(wǎng)絡(luò)端口、物理安全性較差等。
隨著云計算、大數(shù)據(jù)、人工智能等新興應(yīng)用不斷涌現(xiàn),越來越多的攻擊面也暴露出來。比如,伴隨著云計算的普及,云上的錯誤配置就有可能導(dǎo)致大規(guī)模的數(shù)據(jù)泄露;再比如,企業(yè)越來越多地引入開源軟件或者將運(yùn)營外包給第三方供應(yīng)商,這都會增加攻擊面暴露的幾率。上述安全隱患都會嚴(yán)重影響企業(yè)業(yè)務(wù)的連續(xù)性,有可能造成無法挽回的損失。
對于各行各業(yè)的企業(yè)來說,減少受攻擊面不僅僅是一個網(wǎng)絡(luò)安全概念,更是一種安全戰(zhàn)略,其核心是盡可能減少邊緣、核心或云中可能被用于攻擊系統(tǒng)、網(wǎng)絡(luò)或組織的潛在漏洞和入口點,逐步提高企業(yè)預(yù)防、抵御和恢復(fù)的整體能力,從而減少惡意攻擊者成功發(fā)起網(wǎng)絡(luò)攻擊的機(jī)會,進(jìn)一步增強(qiáng)網(wǎng)絡(luò)彈性。
Gartner建議,企業(yè)要全面監(jiān)控并嚴(yán)格管理攻擊面,并將攻擊面管理納入到企業(yè)整體的網(wǎng)絡(luò)安全風(fēng)險管理計劃之中,從而開啟主動防御的大門。在這種情況下,企業(yè)和組織應(yīng)該以新的思維方式審視網(wǎng)絡(luò)安全,采用超越傳統(tǒng)的安全監(jiān)控、檢測和響應(yīng)的新方法,更加有效地縮減受攻擊面。
減少受攻擊面 會者不難
人們常說,“亡羊補(bǔ)牢,猶未為晚”。但是從主動防御的角度,我們寧愿將相關(guān)工作做到事前,盡量避免攻擊面的暴露,這樣才能將安全攻擊帶來的不良影響和損失降到最低?;蛘哒f,大大降低處置安全風(fēng)險所需投入的成本。
基于多年實踐經(jīng)驗,戴爾科技總結(jié)和歸納出一套行之有效的減少受攻擊面的措施和戰(zhàn)略,覆蓋技術(shù)、架構(gòu)、運(yùn)維、培訓(xùn)和伙伴等各個維度,希望能夠給企業(yè)的安全實踐帶來有益的啟示和幫助。
1. 打造零信任底座,樹起安全屏障
隨著企業(yè)數(shù)字化轉(zhuǎn)型逐步走向深入,企業(yè)的業(yè)務(wù)形態(tài)、IT架構(gòu)、應(yīng)用模式等都發(fā)生了翻天覆地的變化。遠(yuǎn)程辦公的常態(tài)化、跨云的數(shù)據(jù)傳輸、物聯(lián)網(wǎng)絡(luò)的泛在化等,導(dǎo)致了網(wǎng)絡(luò)安全邊界的模糊化,傳統(tǒng)的網(wǎng)絡(luò)安全方案已經(jīng)無能為力,零信任架構(gòu)成了新的選擇。
零信任是一個安全概念,其核心理念是企業(yè)和組織不應(yīng)自動信任其邊界內(nèi)外的任何內(nèi)容,而是必須驗證嘗試連接到其系統(tǒng)的所有內(nèi)容,然后才能授予其訪問權(quán)限,并通過整合微分段、身份和訪問管理 (IAM)、多因素身份驗證 (MFA) 和安全分析等解決方案,打造零信任模型。
中國信息通信研究院發(fā)布的《零信任發(fā)展研究報告(2023年)》指出,零信任“持續(xù)驗證、永不信任”、最小化授權(quán)、精細(xì)化網(wǎng)絡(luò)分段流量管理、統(tǒng)一數(shù)字身份等特性,能夠更有效地保障軟件供應(yīng)鏈安全,抵御勒索軟件攻擊,促進(jìn)公共數(shù)據(jù)與服務(wù)安全開放等。
如今,越來越多的安全廠商引入了網(wǎng)絡(luò)分段技術(shù)。以前,企業(yè)通常只有一個單一的網(wǎng)絡(luò),所有設(shè)備都接入其中,一旦攻擊者進(jìn)入網(wǎng)絡(luò),就可以暢通無阻,安全隱患防不勝防。所謂網(wǎng)絡(luò)分段,顧名思義就是將網(wǎng)絡(luò)劃分為具有不同安全級別的分段或分區(qū),這樣有助于遏制攻擊,并通過隔離關(guān)鍵資產(chǎn)和限制網(wǎng)絡(luò)不同部分之間的訪問來防止橫向移動,從而最小化威脅影響。
總之,采用零信任架構(gòu)能夠讓企業(yè)在核心、云和邊緣環(huán)境中提高可見性,增強(qiáng)控制能力,達(dá)到保護(hù)數(shù)據(jù)與應(yīng)用的安全、降低風(fēng)險的目的。
2. 注重安全細(xì)節(jié),封堵所有漏洞
在企業(yè)中,安全漏洞和隱患無處不在,比如網(wǎng)絡(luò)釣魚和數(shù)據(jù)泄露等人為錯誤和遺漏,未知的開源軟件或過時的軟件,還有物聯(lián)網(wǎng)或影子IT資產(chǎn)等。為了減少受攻擊面,企業(yè)可能已經(jīng)采取了很多安全手段和措施,以下幾個方面更應(yīng)該引起足夠重視:
配置安全。企業(yè)應(yīng)確保系統(tǒng)、網(wǎng)絡(luò)和設(shè)備按照安全最佳實踐進(jìn)行正確配置,比如禁用不必要的服務(wù),使用強(qiáng)密碼和執(zhí)行訪問控制,以減少潛在的受攻擊面。
堅持最低權(quán)限原則。基于最低權(quán)限原則可對用戶和系統(tǒng)帳戶加以限制,使其僅具有執(zhí)行相應(yīng)任務(wù)所需的最低訪問權(quán)限。此方法可限制攻擊者獲得未經(jīng)授權(quán)訪問權(quán)限所產(chǎn)生的潛在影響。
確保應(yīng)用程序的安全性。實施安全編碼,定期進(jìn)行安全測試和代碼審查,以及使用 Web應(yīng)用程序防火墻(WAF)。這些措施有助于防范常見的應(yīng)用程序級攻擊,并減少Web應(yīng)用程序的受攻擊面。
3. 隨需應(yīng)變,持續(xù)更新
減少受攻擊面,不是構(gòu)建了零信任架構(gòu),采取了多種防御措施就萬事大吉。黑客正變得越來越有組織性和規(guī)模化,攻擊技術(shù)和手段花樣翻新,同時攻擊也更具針對性和破壞力。
俗話說“魔高一尺,道高一丈”。應(yīng)對快速變化的攻擊和威脅,企業(yè)的安全防御系統(tǒng)要定期修補(bǔ)和更新。比如,使用全新的安全修補(bǔ)程序,使得軟件、操作系統(tǒng)和應(yīng)用程序保持更新,這有助于解決已知漏洞,并最大程度地降低風(fēng)險。
另外,企業(yè)還要加強(qiáng)對內(nèi)部人員的培訓(xùn),提高其安全認(rèn)知,使得員工有能力識別并報告潛在的安全威脅、網(wǎng)絡(luò)釣魚企圖和社會工程策略,這樣可以更有效地降低利用人類弱點發(fā)起攻擊的風(fēng)險。
4. 善于“借力打力”,構(gòu)建安全生態(tài)
減少受攻擊面,人人有責(zé),人人獲益。企業(yè)、用戶與合作伙伴應(yīng)該形成一條統(tǒng)一的安全戰(zhàn)線,共同增強(qiáng)防御安全攻擊的能力。
企業(yè)可以與專業(yè)的安全供應(yīng)商合作,在設(shè)計、制造和交付設(shè)備與基礎(chǔ)架構(gòu)的各個階段都充分考慮到安全性,奠定可信賴的基礎(chǔ)。安全廠商能夠提供安全的供應(yīng)鏈、安全的開發(fā)生命周期和嚴(yán)謹(jǐn)?shù)耐{建模,能夠讓企業(yè)比攻擊者先行一步,有備無患。企業(yè)與安全廠商、專業(yè)的技術(shù)和服務(wù)合作伙伴建立穩(wěn)固的合作關(guān)系,可以更好地吸收來自外部的專業(yè)知識、互補(bǔ)的解決方案,進(jìn)一步提升企業(yè)整體的安全性。
特別值得一提的是,人工智能技術(shù)已經(jīng)成為一種新的增強(qiáng)安全防御能力的手段。特別是大模型的興起,加快了人工智能技術(shù)在發(fā)現(xiàn)、處置安全攻擊和威脅中的應(yīng)用。更深入的研究正在持續(xù)進(jìn)行之中。
循序漸進(jìn) 持之以恒
企業(yè)在數(shù)字化轉(zhuǎn)型的過程中,無論是在邊緣、核心還是云端,都要做到防微杜漸,努力減少受攻擊面,不斷增強(qiáng)自身抵御持續(xù)威脅的能力,為業(yè)務(wù)的創(chuàng)新與發(fā)展保駕護(hù)航。
減少受攻擊面需要全方位的安全防護(hù)策略。戴爾科技通過建立一攬子安全流程,包括評估風(fēng)險、保護(hù)關(guān)鍵數(shù)據(jù)和縮小受攻擊面、偵測威脅、從攻擊過程中恢復(fù)等多個過程,不斷提升網(wǎng)絡(luò)彈性模型的成熟度;同時,戴爾科技還利用全方位端點保護(hù)產(chǎn)品組合,減少受攻擊面,通過將內(nèi)置的保護(hù)與持續(xù)的警戒功能相結(jié)合,持續(xù)降低攻擊對于企業(yè)的影響。
必須明確的是,網(wǎng)絡(luò)安全不是一次性任務(wù),而是一個持續(xù)的過程。通過積極主動地實施各類主動防御措施,企業(yè)能夠有效地減少受攻擊面,使攻擊者更難利用漏洞影響企業(yè)的正常運(yùn)行。在服務(wù)商和合作伙伴的助力下,企業(yè)通過定期審計、滲透測試和漏洞評估等方式,可以及時發(fā)現(xiàn)漏洞及不足,不斷完善和優(yōu)化現(xiàn)有的網(wǎng)絡(luò)安全體系和機(jī)制,將企業(yè)全面的網(wǎng)絡(luò)安全戰(zhàn)略落在實處,增強(qiáng)整體防御能力,從容應(yīng)對各種新興威脅。
保障網(wǎng)絡(luò)安全不可能一蹴而就,讓我們現(xiàn)在就從減少受攻擊面做起,行穩(wěn)致遠(yuǎn)。