天地和兴:学会二八定律,网络安全控制项目大简化

全球TMT4年前 (2020-07-17) 2395浏览

全球TMT2020年7月17日,随着MicroSolved更新了80/20网络安全法则,近日,北京天地和兴科技有限公司分析并研究了网络安全法则定律,从而帮助企业更好地应用网络安全控制。

80/20法则又称帕累托法则、二八定律,由意大利经济学家维尔弗雷多·帕累托在19世纪末20世纪初发现的。他认为,在任何一组东西中,最重要的只占其中一小部分,约20%,其余80%尽管是多数,却是次要的,因此又称二八定律,被广泛应用于社会学及企业管理学等。

MicroSolved 最新版本的80/20法则包含:维护完整的当前网络资产清单、实施全面的配置控制程序、实施全面的安全维护计划、实施全面的变更控制程序、实施基本的内部威胁建模和风险评估、持续安全评估、实施日志记录和监视、实施网络分段、执行和维护书面的网络安全计划、实施安全意识和培训计划、招聘、培训和实施事件响应团队、在网络上尽可能使用MFA、部署合理的加密技术。

1、维护完整的当前网络资产清单

与以前的80/20法则版本中的第一个项目几乎相同。研究人员认为清单控制是20大建议中的第一控制措施。完整的清单不仅可以帮助避免遗留未维护的遗留系统的危险,更重要的是,它还可以实现其他重要的安全项目,例如安全维护、配置控制、访问控制等。

2、实施全面的配置控制程序

为了适当地增强网络抵抗攻击能力,必须安全地配置所有网络资产(软件/固件应用程序、操作系统和设备)。这应该根据通用的基线配置策略来完成。为了确保正确配置所有网络资产,需要完整且最新的清单。

3、实施全面的安全维护计划

安全维护需要监视安全和供应商站点是否存在影响网络资产的漏洞,然后确保必要时对其进行修补、更新或替换。有必要将此过程与库存控制联系起来,以确保包括所有资产。

4、实施全面的变更控制程序

安全漏洞通常是由于对网络安全设置未进行维护或进行考虑不周的更改而引起的。例如,将与内部网络的直接连接授予第三方,以允许进行必要的工作,但是在完成工作后不会将其删除。攻击者经常使用这种攻击载体来获得专用网络的访问权限。变更应完全记录在案,并应计划还原到以前的状态,以防出现无法预料的问题。如前所述,变更控制过程应与库存控制、配置控制和安全维护联系相联系。人员和流程之间的这种通信对于防止可能导致安全错误的混乱是必要的。

5、实施基本的内部威胁建模和风险评估

基本的威胁建模和风险评估不必是一个复杂或耗时的过程。在对网络进行重大更改或添加时,只需考虑攻击者可能会对这些更改(可能的漏洞)进行不利操作(威胁)的方式,以及这种操作可能对业务造成的影响(风险)。在具有代表性的技术、安全、法律和管理人员中使用此简单过程将提高风险确定的准确性。

6、持续安全评估

外部网络和内部网络的漏洞评估可以由内部或第三方服务提供商执行。建议使用这些评估,因为它们可能会暴露由于错误或恶意意图而潜入网络的漏洞。自定义编码的软件应用程序的安全性评估可能会使漏洞暴露于跨站点脚本之类的情况。其他可能使组织受益的安全评估包括渗透测试和网络工程测试,例如网络钓鱼测试。

7、实施日志记录和监视

实施此项目需要打开网络上所有支持该功能的系统的日志记录。建议使用工具汇总日志和进行基本日志分析。记录和监视应连续进行。应指派有能力的员工来监视、调查和增强自动化和第三方安全监视结果。

8、实施网络分段

实施此项目需要在逻辑上或物理上对网络进行分段。正确的网络分段可以帮助阻止获得非法内部访问权限的攻击者在网络上横向移动,并将其特权提升到域管理员级别。至少应将“用户空间”与“服务器空间”分开。

9、执行和维护书面的网络安全计划

书面的网络安全策略和程序对于任何有效的网络安全计划都是必需的。没有他们,组织人员将永远无法确保他们正确地协调自己的工作,而且只有在将它们无缝集成在一起的情况下,网络安全计划才真正有效。此外,书面安全和操作程序对于业务连续性/灾难恢复至关重要。

10、实施安全意识和培训计划

仅拥有良好的书面政策和程序文件还不够。组织人员还必须了解这些政策及其执行这些政策的责任。此外,组织人员可以是安全资产也可以是安全缺陷。培训和意识是确保它们成为安全资产的关键。除安全培训外,还应向人员提供安全提醒和更新。另外,应该为从事高风险工作的人员(例如网络管理,服务台等)提供安全技能差距培训。

11、招聘、培训和实施事件响应团队

实施此控制措施需要制定事件响应策略和方法,招募事件响应团队,并练习执行任务所需的技能。没有完美的安全。任何组织都可能遭受安全事件。事件响应程序可以极大地减少安全事件的负面影响,例如数据泄露对组织及其客户的影响。

12、在网络上尽可能使用MFA

使用有效的多因素身份验证(MFA)来访问网络资产可以解决许多安全隐患。实施该项目确实需要花费大量的时间,因为用户和客户总是会认为获得访问权会带来额外麻烦。至少,应该对系统进行高风险访问使用MFA,例如管理、远程或无线访问。

13、部署合理的加密技术

加密数据以进行传输和存储可最大程度地减少使用敏感或私有信息所固有的风险。这个项目并不容易全面实施,但是如果正确完成,可以帮助挫败那些成功访问私有系统的攻击者。密码学的警告是,随着项目的成熟,还必须实施安全密钥管理。如果没有正确的制作、注销和保护这些密钥,则加密实际上可能成为一种负担而不是资产。