亚洲成人av婷婷_国产农村艳妇AⅤ传媒_欧美性爱午夜福利网站_91黄色片在线观看_干进去了视频在线观看_亚洲成年影片免费_日韩无码av一区二区三区_妺妺窝人体色www在线_亚洲熟女小黄视频_国产美女免费永久视频

安全資訊

縮小數(shù)字攻擊面的10種安全控制措施

研究顯示,隨著遠(yuǎn)程辦公人員數(shù)量、云計(jì)算應(yīng)用和SaaS化服務(wù)使用量的不斷增加,現(xiàn)代企業(yè)的數(shù)字攻擊面也在持續(xù)性擴(kuò)大。盡管這并不奇怪,但值得警惕的是,很多企業(yè)的安全團(tuán)隊(duì)難以跟上數(shù)字環(huán)境快速擴(kuò)張和不斷變化的步伐,缺乏對(duì)其有效管理的工具和流程,結(jié)果導(dǎo)致了風(fēng)險(xiǎn)暴露和安全控制能力之間存在巨大差異。

攻擊面擴(kuò)大的風(fēng)險(xiǎn)和漏洞

數(shù)字攻擊面包括了錯(cuò)綜復(fù)雜的在線資產(chǎn)和龐大的數(shù)字供應(yīng)鏈,是網(wǎng)絡(luò)犯罪分子重點(diǎn)關(guān)注的攻擊目標(biāo)。研究發(fā)現(xiàn),目前企業(yè)數(shù)字環(huán)境中最常見(jiàn)的攻擊面風(fēng)險(xiǎn)和漏洞包括以下類型:

1、配置錯(cuò)誤

現(xiàn)代企業(yè)需要快速、輕松、廉價(jià)地?cái)U(kuò)展數(shù)字基礎(chǔ)設(shè)施,因此不斷采用新的技術(shù)和產(chǎn)品,并有意將計(jì)算和數(shù)據(jù)擴(kuò)展到IT部門(mén)的管理范圍之外。這些舉措雖然增強(qiáng)了企業(yè)的業(yè)務(wù)運(yùn)營(yíng)能力,但也帶來(lái)了新的漏洞。數(shù)據(jù)顯示,配置錯(cuò)誤已經(jīng)成為企業(yè)數(shù)字化發(fā)展中最普遍的安全隱患和漏洞。連缺乏經(jīng)驗(yàn)的黑客也可以輕松發(fā)現(xiàn)錯(cuò)誤配置很容易鉆空子。

事實(shí)上,在許多企業(yè)的網(wǎng)絡(luò)中,還仍然存在大量長(zhǎng)期未使用的服務(wù)器、系統(tǒng)和應(yīng)用程序等,這些資產(chǎn)使用過(guò)時(shí)的軟件,缺少甚至完全沒(méi)有日常安全維護(hù),并長(zhǎng)期暴露在網(wǎng)絡(luò)攻擊者面前。

2、訪問(wèn)控制不足

雖然現(xiàn)代企業(yè)都在不斷完善網(wǎng)絡(luò)應(yīng)用系統(tǒng)訪問(wèn)的安全性,但攻擊者仍有辦法找到并利用與訪問(wèn)控制授權(quán)相關(guān)的漏洞。此外,很多云服務(wù)商的安全措施常常不夠有效,脆弱的云授權(quán)方法也難以阻止攻擊者在進(jìn)入云后提升權(quán)限,擴(kuò)大對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)。由于如今的云服務(wù)具有易用性和簡(jiǎn)單性,這樣很多非專業(yè)技術(shù)人員也可以在云端配置IT應(yīng)用服務(wù),但這將不可避免地導(dǎo)致安全性疏忽和錯(cuò)誤配置。

3、第三方Web應(yīng)用和系統(tǒng)

Web應(yīng)用程序中存儲(chǔ)和共享大量敏感數(shù)據(jù),包括電子郵件地址、密碼和信用卡號(hào)等。這些Web應(yīng)用程序會(huì)與多個(gè)第三方系統(tǒng)和服務(wù)交互或連接,這無(wú)疑會(huì)進(jìn)一步加大了訪問(wèn)該服務(wù)的攻擊面。攻擊者正在密切關(guān)注數(shù)字供應(yīng)鏈中的攻擊途徑,包括通過(guò)SQL注入攻擊獲得的漏洞、權(quán)限配置錯(cuò)誤以及身份驗(yàn)證缺陷等,獲得數(shù)據(jù)訪問(wèn)權(quán)限。因此,現(xiàn)代企業(yè)不僅需要保護(hù)自己組織的應(yīng)用程序,每個(gè)相關(guān)聯(lián)的Web應(yīng)用程序和第三方系統(tǒng)也都需要受到保護(hù)。

4、DNS劫持

域名系統(tǒng)(DNS)是互聯(lián)網(wǎng)數(shù)據(jù)訪問(wèn)的基礎(chǔ)性部分,但由于其在設(shè)計(jì)時(shí)并未考慮可能的安全風(fēng)險(xiǎn),因此其天然就易受網(wǎng)絡(luò)攻擊。如今,幾乎每家企業(yè)都在其數(shù)字供應(yīng)鏈中使用各種DNS服務(wù)器,因此攻擊者已將DNS服務(wù)器視為非常具有吸引力的攻擊目標(biāo),通過(guò)漏洞利用就可以劫持系統(tǒng),這樣就可以獲得類似“內(nèi)部人員”等級(jí)的信任度,并以此輕松發(fā)動(dòng)網(wǎng)絡(luò)攻擊。

5、郵件系統(tǒng)

電子郵件是企業(yè)組織最常用的業(yè)務(wù)溝通方式之一。電子郵件易于訪問(wèn)和使用,這也讓它容易受到網(wǎng)絡(luò)攻擊。每家組織使用不同的內(nèi)外電子郵件服務(wù)器進(jìn)行日常通信,這意味著電子郵件安全保護(hù)方面的最佳實(shí)踐會(huì)因公司和服務(wù)商而不同。網(wǎng)絡(luò)攻擊者經(jīng)過(guò)訓(xùn)練,可以識(shí)別易受攻擊的電子郵件服務(wù)器,并發(fā)起企圖接管的活動(dòng)。一旦他們進(jìn)入電子郵件服務(wù)器,就會(huì)向他們能夠接觸到的任何人實(shí)施基于電子郵件的釣魚(yú)攻擊。

6、影子IT

影子IT指組織的員工在未經(jīng)IT團(tuán)隊(duì)批準(zhǔn)的情況下使用的信息化技術(shù),包括系統(tǒng)、軟件、應(yīng)用程序和設(shè)備。近年來(lái),隨著員工在家中使用個(gè)人設(shè)備登錄辦公,影子IT大行其道。員工經(jīng)常通過(guò)云存儲(chǔ)來(lái)遷移工作負(fù)載和數(shù)據(jù),卻不了解相關(guān)的安全標(biāo)準(zhǔn)和風(fēng)險(xiǎn),組織的安全團(tuán)隊(duì)也沒(méi)有給予密切關(guān)注。與此同時(shí),由于影子IT的性質(zhì),IT和安全部門(mén)難以對(duì)這些設(shè)備漏洞進(jìn)行有效的監(jiān)控和管理,因此往往不能及時(shí)了解安全事件的攻擊過(guò)程。

7、未管理的資產(chǎn)

全球連接互聯(lián)網(wǎng)的計(jì)算設(shè)備數(shù)量達(dá)到數(shù)十億,增長(zhǎng)速度驚人,這主要是因?yàn)楝F(xiàn)代企業(yè)數(shù)字化轉(zhuǎn)型發(fā)展的速度之快前所未有。顯然,管理這么多的網(wǎng)絡(luò)連接需要一個(gè)大型的、復(fù)雜的、分布式的、專門(mén)構(gòu)建的基礎(chǔ)設(shè)施。而事實(shí)上,在許多企業(yè)的網(wǎng)絡(luò)中,仍然存在大量長(zhǎng)期未使用的服務(wù)器、系統(tǒng)和應(yīng)用程序等,這些資產(chǎn)使用過(guò)時(shí)的軟件,缺少甚至完全沒(méi)有日常安全維護(hù),并長(zhǎng)期暴露在網(wǎng)絡(luò)攻擊者面前。

縮小攻擊面的安全控制措施

安全控制是指企業(yè)為縮小攻擊面、減少網(wǎng)絡(luò)安全威脅、保護(hù)敏感數(shù)據(jù)而實(shí)施的系列技術(shù)措施。它們是為緩解數(shù)字化應(yīng)用的風(fēng)險(xiǎn)而設(shè)計(jì)的。根據(jù)近年來(lái)企業(yè)攻擊面管理的最佳實(shí)踐,安全研究人員總結(jié)了能夠有效縮小數(shù)字攻擊面的10種安全控制措施。

1、縱深防御

在網(wǎng)絡(luò)安全領(lǐng)域中,縱深防御代表著一種更加系統(tǒng)、積極的防護(hù)戰(zhàn)略,它要求合理利用各種安全技術(shù)的能力和特點(diǎn),構(gòu)建形成多方式、多層次、功能互補(bǔ)的安全防護(hù)能力體系,以滿足企業(yè)安全工作中對(duì)縱深性、均衡性、抗易損性的多種要求。目前,縱深防御已經(jīng)成為現(xiàn)代企業(yè)網(wǎng)絡(luò)安全建設(shè)中的基本性原則之一。

2、最小特權(quán)原則

最小特權(quán)原則(POLP)旨在為每個(gè)用戶提供僅限于完成任務(wù)所需的系統(tǒng)和數(shù)據(jù)訪問(wèn)權(quán)限,是任何身份和訪問(wèn)管理(IAM)策略中的最佳實(shí)踐。執(zhí)行POLP意味著消除長(zhǎng)期性的特權(quán)使用,特權(quán)賬戶并不可以被無(wú)限制地賦予不需要的管理權(quán)限,從特權(quán)賬戶建立開(kāi)始,就需要對(duì)其進(jìn)行合理的權(quán)限使用限制。在權(quán)限提升時(shí),應(yīng)該有非常具體的理由才有望批準(zhǔn),還要有約束屬性,比如位置、設(shè)備和操作類型。

3、最小功能原則

最小功能原則同樣屬于“最小必要”理念的范疇,主要與系統(tǒng)的配置和設(shè)計(jì)有關(guān)。它并不會(huì)限制用戶的訪問(wèn)行為,而是將系統(tǒng)的功能限制于進(jìn)行授權(quán)活動(dòng)所必需的范圍內(nèi),禁止或限制使用和訪問(wèn)任何非必要的服務(wù)和功能。例如,如果某計(jì)算設(shè)備只安裝必要的軟件應(yīng)用程序、開(kāi)啟必要的服務(wù)、敞開(kāi)必要的端口,就能夠限制網(wǎng)絡(luò)犯罪分子的潛在攻擊手段,縮小了攻擊面。此外,當(dāng)系統(tǒng)只有必要功能時(shí),由于需要更新和修補(bǔ)的軟件更少,因而更容易維護(hù)。

4、零信任策略

零信任技術(shù)自從誕生之日起就備受關(guān)注,被認(rèn)為是網(wǎng)絡(luò)安全技術(shù)發(fā)展的顛覆性創(chuàng)新理念。目前,零信任策略已經(jīng)成為企業(yè)確保網(wǎng)絡(luò)安全有效性、減小攻擊面的最佳實(shí)踐之一。不過(guò),構(gòu)建零信任安全并不容易,對(duì)于許多企業(yè)來(lái)說(shuō),零信任的建設(shè)需要全面改變架構(gòu)、流程和安全意識(shí),這不是一蹴而就的改變,而是一個(gè)循序漸進(jìn)的過(guò)程。

5、網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段與零信任策略密切相關(guān),企業(yè)應(yīng)該根據(jù)信任級(jí)別和數(shù)據(jù)敏感度將網(wǎng)絡(luò)劃分為更小的隔離區(qū)域,并部署嚴(yán)格的網(wǎng)絡(luò)訪問(wèn)控制和防火墻以限制網(wǎng)段間通信。它還需要使用VPN等安全連接,以遠(yuǎn)程訪問(wèn)敏感數(shù)據(jù)或系統(tǒng)。通過(guò)將網(wǎng)絡(luò)或基礎(chǔ)設(shè)施的不同區(qū)域隔離開(kāi)來(lái),企業(yè)可以為潛在的網(wǎng)絡(luò)攻擊活動(dòng)設(shè)置更多障礙。

6、DevSecOps

軟件應(yīng)用程序應(yīng)該盡量減少不安全或暴露的代碼,這樣可以減少安全漏洞并降低攻擊者利用漏洞的可能性。在軟件供應(yīng)鏈安全建設(shè)實(shí)踐中,DevSecOps平衡了代碼開(kāi)發(fā)過(guò)程中敏捷和安全的需求,逐漸被行業(yè)接受和認(rèn)可,加速DevSecOps的落地實(shí)踐,可以成為幫助企業(yè)縮小數(shù)字攻擊面的重要抓手。

7、數(shù)字資產(chǎn)管理

對(duì)于網(wǎng)絡(luò)攻擊者來(lái)說(shuō),未使用和廢棄的數(shù)字化資產(chǎn)都是可供利用的攻擊面,包括計(jì)算設(shè)備、應(yīng)用程序和數(shù)據(jù)存儲(chǔ)庫(kù)等。如果這些資產(chǎn)仍然連接了敏感系統(tǒng)和數(shù)據(jù)時(shí),情況將更加嚴(yán)重。企業(yè)需要有效管理各類數(shù)字資產(chǎn),移除不再使用或沒(méi)有必要的資產(chǎn)。此外,系統(tǒng)和應(yīng)用程序中的冗余功能也會(huì)為攻擊者提供了更多的潛在入口點(diǎn)。消除冗余功能不僅可以減小攻擊面,還可以為用戶簡(jiǎn)化流程。

8、API安全

在數(shù)字化時(shí)代,幾乎所有的企業(yè)都需要依賴大量API進(jìn)行服務(wù)連接、數(shù)據(jù)傳輸和系統(tǒng)控制,在此背景下,確保各類API的安全應(yīng)用也變得越來(lái)越重要。然而,有很多企業(yè)還沒(méi)有對(duì)API應(yīng)用存在的安全威脅給予足夠重視,這也導(dǎo)致了攻擊面不斷擴(kuò)大。企業(yè)應(yīng)該盡量減少第三方API服務(wù)的使用數(shù)量,并確保所有API得到充分保護(hù),這有助于縮小數(shù)字攻擊面。

9、補(bǔ)丁管理

未打補(bǔ)丁的軟件系統(tǒng)是攻擊者最常利用的攻擊面漏洞之一,也是最容易應(yīng)對(duì)的漏洞之一。因此,企業(yè)應(yīng)該采取合適的策略和機(jī)制,解決這些缺陷可能造成的安全問(wèn)題。通過(guò)采取正確有效的補(bǔ)丁管理策略,企業(yè)不僅可確保業(yè)務(wù)軟件和底層基礎(chǔ)架構(gòu)沒(méi)有錯(cuò)誤和漏洞,還可以循序漸進(jìn)地降低嚴(yán)重網(wǎng)絡(luò)安全事件發(fā)生的概率,同時(shí)也有助于企業(yè)進(jìn)行后續(xù)的回顧管理和安全審核。

10、網(wǎng)絡(luò)安全意識(shí)培養(yǎng)

盡管存在種種技術(shù)漏洞,但人依然是網(wǎng)絡(luò)安全中最薄弱的環(huán)節(jié)。企業(yè)可以限制用戶對(duì)某些系統(tǒng)和數(shù)據(jù)的訪問(wèn),卻難以阻止員工可能會(huì)犯的每個(gè)人為性錯(cuò)誤。因此,持續(xù)的員工網(wǎng)絡(luò)安全意識(shí)培訓(xùn)是減小數(shù)字攻擊面最重要的安全控制之一。現(xiàn)代企業(yè)中的每一位員工都應(yīng)該定期接受網(wǎng)絡(luò)安全意識(shí)培訓(xùn),以識(shí)別網(wǎng)絡(luò)釣魚(yú)等攻擊企圖,了解哪些數(shù)據(jù)很敏感,了解潛在的風(fēng)險(xiǎn)和漏洞,并了解如何遵循確保敏感數(shù)據(jù)安全的最佳實(shí)踐。盡管人為性錯(cuò)誤難以避免,但能通過(guò)適當(dāng)?shù)慕逃团嘤?xùn),可以大大降低導(dǎo)致數(shù)據(jù)泄露危害發(fā)生的可能性。

 

服務(wù)熱線

138-6598-3726

產(chǎn)品和特性

價(jià)格和優(yōu)惠

安徽靈狐網(wǎng)絡(luò)公眾號(hào)

微信公眾號(hào)