CISO宝典：5种有效应对网络攻击的卫生策略

Linda表示，网络钓鱼攻击就好像在拥有大量鱼群的水缸里钓鱼，只要时间足够，任何攻击者都能钓到“受害人员”。现实中，一旦攻击者发现某些组织的系统存在习惯性脆弱问题，他们就会不断针对，将“钓鱼周期”一直持续下去。而启用多因素身份验证（MFA）可以帮助企业防止99.9%的钓鱼攻击，这是因为面对MFA，黑客需要攻击破解两个以上的验证因素才能访问目标系统。

而为了使MFA有效，它必须是无摩擦的。设备生物识别或符合FIDO2标准的因素（如Feitan或Yubico安全密钥）等选项可以帮助提高安全性，而不会给员工带来额外负担。同样，MFA应该被战略性地利用来帮助保护敏感数据和关键系统，而不是将其应用于每一次交互。

MFA应该易于终端用户使用。有条件的访问策略是一个很好的解决方案，因为它们可以根据风险检测触发两步验证，以及直通身份验证和单点登录（SSO）。这有助于减少最终用户在设备更新后，通过多个登录序列访问公司网络上的非关键文件共享或日历的需求。同时它还消除了90天密码重置的需要。

Linda介绍，多因素身份验证的使用要点如下：

应用零信任原则

Linda表示，零信任是一种网络安全模式，但实际上更像是一种哲学。在这种模式中，除非得到证明，否则每个用户、每个设备、每条信息都会被认为是不可信的。这是过去基于边界做安全防护的替代方案。传统方案表现出来的是，企业网络外部的内容不可信，网络内部的内容自动被认为是可信的，也就是说，在传统模式下，企业有一个坚硬的外壳和一个柔软、脆弱的中心。

而零信任是一种主动的、集成的方法，可用于保护数字资产的所有层。在零信任模型下，每笔交易都得到明确和持续的验证，零信任会强制执行最低权限访问，因此这样智能、提前检测和实时威胁响应的方案才是安全的基石。

在互联网无处不在的时代里，混合办公模式已成主流，计算资源会分布在多个数据中心、云和其他第三方，因此传统安全防护不再奏效，而零信任模式则是这类风险的最佳答案。根据2022年Okta发布的调查，700家企业里，有55%的企业已经实施了零信任，此比例高于2021年的24%，同时97%的组织计划在未来12至18个月内实施零信任。

通过零信任策略，组织可以更好地支持远程和混合工作，帮助防止或减少漏洞对业务的损害，识别并帮助保护敏感的业务数据和身份，并在整个企业中都能建立起安全态势。

使用现代反恶意软件解决方案

Linda指出，威胁行为者通常行动迅速，他们的目标是不被发现。而扩展的检测和响应工具，可以自动帮助组织标记、阻止恶意软件攻击，同时为安全运营团队提供见解。监测威胁检测系统的这些见解，对于能够及时应对威胁至关重要，同时实现现代反恶意软件平台有多个阶段。

首先是安全自动化和协调最佳实践。Linda建议将尽可能多的工作转移到组织的传感器上，在将调查结果发送给分析师之前，重点部署能够自动、关联和互连调查结果的传感器。同样，也可以自动化警报收集和优先级排序，以帮助减少安全操作分析师的负担。Linda还建议，在标准化响应程序之前，先自动化常见、重复和耗时的管理流程。最后，通过监控关键指标并调整传感器和工作流程来推动增量变革，从而专注于持续改进。

而当涉及到实际预防、检测和响应威胁时，集成的扩展检测和响应（XDR），以及安全信息和事件管理（SIEM）解决方案可以帮助抵御所有工作负载中的威胁。常见风险领域包括远程访问解决方案、电子邮件和协作软件，以及暴露在互联网上的端点。集成的XDR和SIEM通过提供高质量告警，可最大限度地减少响应过程中的摩擦和手动环节。

Linda表示，那些未修补和过时的系统，是许多组织会被攻击的关键原因。比如，物联网设备正成为网络犯罪分子和僵尸网络主要关注的目标。当路由器未被修补并直接暴露在互联网上时，威胁行为者可以滥用它们来访问网络，执行恶意攻击，甚至拿走控制权。

组织可以通过遵循最佳实践来帮助规避这种风险，例如在软件补丁发布后立即应用。组织还应该更改默认密码和SSH端口，以确保设备是健康的。同样重要的是，要深入了解网络上的物联网设备，并根据其对企业的重要性进行优先级排序。组织可以通过消除不必要的互联网连接、开放端口，通过阻止端口限制远程访问，拒绝远程访问和使用VPN服务来进一步减少攻击面。

说到补丁，国内几乎所有的条例都规定企业要给全部系统及时地打上重要和关键的补丁，但实际操作中连打全补丁的企业都是凤毛麟角，就更别说“及时打全补丁”的了。

同样，完全修复的服务器也近乎为零。每个人都觉得服务器已经完全修复了，但实际上修复的只是那些打上了全部微软补丁的服务器，甚至部分服务器连微软补丁打没打全都不一定。而即便操作系统补丁都打上了，服务器管理软件却仍然是过时的。有些底层视频编码器堪称老旧，有些服务器管理工具年代久远，这些所谓的过时、老旧、年代久远，都意味着它们包含了那些公开已知的漏洞，也就是说系统可随时被远程控制。

每次面对合规审计时，只告诉审计员99%的漏洞都给补上了，而且还能拿出报告加以证明。但没告诉审计员的是，未修复的那1%的漏洞正是最有可能被恶意黑客给利用的，避重就轻是大部分企业在面对合规时所采用的策略，即合规报告中宣称已完全修复，但实际上漏洞一直都在。

在此建议，切不可为了合规而逃避安全，也不可为了安全而无视合规，虽然现阶段每家公司对安全部门甚至整个IT部门的资源投入都有限，但作为企业的守门员，还是尽可能地要完善策略和机制，争取不让企业陷入威胁和罚款。

Linda指出，在如今混合办公模式盛行的环境里，世界各地都会有多个设备、应用程序和服务来访问组织数据。有这么多平台和访问点，组织需要强有力的保护措施来防止数据被盗和数据泄露，其中深度防御是加强数据安全的一种方法。

为了实现这种深度防御的方法，组织必须了解数据的位置和访问方式来确定内部的数据环境。同样，当数据处于静止状态和传输状态时，也需要做好数据保护策略，可通过准确地标记、分类和跟踪数据的移动来完成防护。

一旦映射并标记了这些数据，组织就需要管理可能导致数据安全事件发生的用户风险或内部威胁，此举可以通过合适的人员、流程、培训和工具的组合来实现。另一方面，在数据丢失和未经授权使用数据方面，Linda表示，有效的数据丢失保护解决方案应通过确保适当的访问控制和策略来平衡安全防护和生产力，以帮助防止敏感数据的不当保存、存储或打印。

随着数据治理的转变，业务团队已然成为了数据的管理者，组织必须努力在整个架构中创建统一的方法。主动式数据生命周期管理可以提高数据安全性，并有助于确保数据的民主化，从而推动业务价值。

对于在企业内部，良好的网络安全卫生策略都包含哪些内容，国内安全专家如此建议。

知乎相关专家“刘一时Keil”表示，良好的网络安全卫生策略在企业内部应包含以下内容：

1、网络安全策略：制定和执行网络安全策略，包括访问控制、数据加密、备份和恢复等措施。

2、安全软件：安装和更新防病毒、防间谍、防恶意软件等安全软件，以保护网络系统和数据安全。

3、培训和教育：提高员工的网络安全意识，教育员工如何识别和应对网络安全威胁。

4、安全审计：定期对网络系统和数据进行安全审计，发现和修复潜在的安全漏洞。

5、网络监控：实时监控网络流量和活动，及时发现和阻止网络攻击和异常行为。

对于网络安全卫生策略，“刘一时Keil”建议安全人员或企业从以下几个方面加强管理：

1、员工培训。加强员工网络安全教育，并与人力资源同事合作进行网络安全培训，这是一项需要持续进行的发展要求。发生重大网络安全漏洞时，网络管理员应与员工定期讨论，解释网络犯罪分子获得网络访问权的最新方式及其所造成的损害。作为培训过程的一部分，IT部门可以创建模拟事件，以便员工可以直接了解网络钓鱼攻击的方式，并寻求帮助来识别潜在的漏洞。

2、采取零信任文化。首先进行身份验证，然后进行连接，然后对所有内容进行分段。

3、统一操作系统。及时打上补丁，定期扫描计算机网络安全漏洞。

九方智投产品技术负责人张福明表示，企业可以在以下这些方面做好安全卫生策略：

1、数据保护和备份。企业应制定明确的数据保护政策，定期备份关键数据，并采取加密等措施确保数据安全。

2、网络边界安全。强化防火墙、入侵检测系统等防护措施，确保网络边界安全，防止外部攻击。

3、设备安全。确保所有设备都符合安全标准，及时进行软件更新和补丁修复。

4、用户账号与权限管理。建立严格的用户账号管理制度，合理分配权限，防止内部人员滥用权限。

5、培训与教育。定期为员工提供网络安全培训，提高员工的安全意识和技能。

张福明建议，组织可以定期进行网络安全风险评估，识别潜在的安全隐患，并采取相应措施进行整改；加强与员工的沟通，提高员工的参与度，共同维护网络安全；建立网络安全事件应急处理机制，确保在发生安全事件时能迅速响应并处理；定期对网络安全策略进行审查和更新，以适应不断变化的网络环境和技术发展。“以上只是一些基本的建议，具体策略需要根据企业的实际情况和需求进行调整和优化。”

某车企科技有限公司安全专家孙权指出，网络安全策略包含以下这些内容：

1.访问控制：限制对敏感数据和系统的访问，只允许经过身份验证和授权的用户访问。

2.数据加密：对敏感数据进行加密，确保只有经过授权的用户才能解密和访问数据。

3.防火墙和入侵检测系统：使用防火墙和入侵检测系统来保护网络边界，防止未经授权的访问和攻击。

4.安全审计和监控：定期进行安全审计和监控，以发现安全漏洞和异常活动，并及时采取措施。

5.员工培训和教育：对员工进行安全意识培训和教育，提高员工的安全意识和技能，减少人为因素导致的安全问题。

6.数据备份和恢复：定期进行数据备份，并制定恢复计划，以确保在发生安全事件时能够及时恢复数据。

7.安全管理制度：制定完善的安全管理制度，明确安全责任和义务，规范员工和用户的行为。

对于安全人员和企业，孙权建议从以下这些方面加强管理：

1.定期评估和更新安全策略：定期评估和更新企业的网络安全策略，以适应新的安全威胁和技术发展。

2.加强员工安全意识培训：定期对员工进行安全意识培训，提高员工的安全意识和技能，减少人为因素导致的安全问题。

3.加强安全技术防范：采用先进的安全技术，如防火墙、入侵检测系统、防病毒软件等，提高网络安全防范能力。

4.加强安全审计和监控：定期进行安全审计和监控，及时发现和处理安全威胁。

5.加强合作和信息共享：加强与其他企业和安全机构的合作和信息共享，共同应对网络安全威胁。

6.制定应急预案：制定应急预案，以应对突发安全事件，减少损失。

7.加强安全管理：加强安全管理，明确安全责任和义务，规范员工和用户的行为，确保网络安全策略的有效执行。

除此之外，孙权还分享了关于网络安全的个人思考和建议：

1.监管方面：加强对网络安全行业的监管，制定更加严格的法规和标准，规范企业的网络安全行为，提高行业整体的安全水平。

2.技术方面：加强技术创新，推动网络安全技术的发展和应用，提高网络安全防范能力。

3.教育方面：加强网络安全教育，提高公众的网络安全意识和技能，减少网络安全事件的发生。

4.国际合作方面：加强国际合作，共同应对跨国网络安全威胁，推动全球网络安全的发展。

5.个人方面：个人应该加强自身的网络安全意识，保护个人隐私和信息安全，不轻易泄露个人信息，不随意点击可疑链接，不使用不安全的公共 Wi-Fi 等。

某互联网公司安全总监程明表示，良好的网络安全策略在企业内部应包含以下内容：

1. 安全意识教育：为员工提供网络安全培训，教育他们识别和应对网络威胁，以及遵守公司设定的安全策略和规定。

2. 强密码管理：要求员工使用强密码，并定期更换密码。同时，禁止员工共享密码，并使用多因素身份验证以增加账户安全。

3. 实施访问控制：采用适当的访问控制措施，确保只有授权人员可以访问敏感数据和系统。这包括设置不同层级的访问权限和审计访问日志。

4. 更新和维护软件：及时安装软件更新和补丁程序，以修复已知的安全漏洞和防止恶意软件的入侵。

5. 网络监控和日志记录：监控企业网络的活动，及时发现和应对异常行为。同时保留日志记录，以便后续留存和调查。

6. 数据备份与恢复：定期备份数据，并进行恢复测试。保证数据的安全性和可用性，以应对数据丢失、系统崩溃等突发情况。

7. 强化设备和网络安全：使用防火墙、入侵检测和防病毒软件等安全工具，保护企业网络和终端设备免受恶意攻击和病毒威胁。

8. 管理供应链安全：确保供应商和合作伙伴也有良好的安全标准和实践，避免因供应链漏洞导致企业网络被攻击。

9. 建立紧急响应计划：制定并定期测试紧急响应计划，以迅速应对网络安全事件，并尽量减少时间和损失。

10. 定期安全审查和评估：对企业网络和系统进行定期安全审查和评估，发现潜在的安全风险和漏洞，并采取相应的措施进行修复和预防。

以上这些内容可以帮助企业建立一个综合的网络安全策略，保护企业的敏感数据和资产免受网络威胁和攻击。

同时，程明提出，安全人员或企业应该从以下几个方面加强管理：

1. 内部安全策略和标准：制定和更新企业的安全策略和标准，确保其与最新的威胁环境和法规相适应。这些策略和标准应该明确规定员工的责任、权限和行为准则，以及网络安全配置和控制要求。

2. 安全意识培训：提供定期的网络安全培训，使员工了解最新的威胁和攻击方式，并懂得如何识别和应对。培训应包括社会工程学攻击、钓鱼邮件、恶意软件等常见的网络威胁。

3. 强化访问控制：确保在网络中实施适当的访问控制措施，包括设置用户账户和密码策略、实施多因素身份验证、限制特权访问等。同时，监控并审计用户的访问行为，及时发现异常活动。

4. 威胁监测和事件响应：建立完善的威胁监测和事件响应机制，使用网络安全工具实时监控网络活动，以及建立紧急响应团队处理网络事件和威胁。定期进行模拟演练，以确保安全人员熟悉应急流程和能迅速响应。

5. 外部合作和情报共享：与其他安全组织、行业协会建立合作关系，共享最新的安全情报和攻击事件的信息。这有助于及时了解最新的威胁，并采取相应的防范措施。

6. 定期安全评估和渗透测试：定期进行安全评估和渗透测试，发现和修复系统和应用程序中的漏洞和弱点。这包括内部进行自我评估，以及雇佣第三方安全公司进行外部渗透测试。

7. 管理员权限和权限分离：限制管理员访问权限，并实施最小权限原则，确保只有必要的人员才能访问系统管理功能。同时，应分离不同职责的权限，以减轻内部滥用风险。

通过加强这些方面的管理，企业可以提高网络安全防御水平，降低遭受网络攻击和数据泄露的风险。

企业安全卫生的重点应该落在安全意识的培养和宣贯，对人而言，总是先有精神、感情，后有行为，只有不断强调安全的重要性，强调各种安全事件所带来的影响，企业员工才会重视安全，安全卫生的概念才会深入人心。而在这一点上，从上至下的贯彻尤为重要，企业领导应该带头重视起安全卫生，在企业的各个层面都强调安全的作用和能力，同时可将安全方面的落地和各人绩效相结合，这样企业才能在日益复杂的互联网环境下持续发展。