CISO请注意:Windows网络需要被强化了!

admin 2023年12月8日23:53:23评论10 views字数 5572阅读18分34秒阅读模式

CISO请注意:Windows网络需要被强化了!

当下,网络安全威胁和网络犯罪仍然是一个严重的问题。恶意软件、病毒、钓鱼攻击、数据泄露等安全威胁屡见不鲜,给个人和企业用户带来了很大的安全风险。此外,网络犯罪也日益猖獗,包括黑客攻击、网络诈骗、身份盗窃等行为,给社会和个人带来了很大的经济损失。

另一方面,随着互联网的普及和数字化进程的加速,网络舆论、信息传播、社交媒体等领域的挑战也日益凸显。虚假信息、网络暴力和恶意软件的传播等问题给网络环境带来了很大的负面影响。

这使人不得不联想,曾几何时,Windows工作站只需运行一系列脚本或一组组策略,就可以对其网络安全性进行加固。各行各业的用户都可以审查微软、美国国家标准与技术研究所(NIST)或互联网安全中心(CIS)关于安全配置的指导意见,并在具体实践时稍作参考就行。

而到了当下这个数字化转型时代,随着互联网环境日益复杂,越来越多的威胁、风险层出不穷,仅仅靠强化操作系统,似乎远远不足以抵挡攻击者对Windows网络的侵入。因此,在这样的背景下,国外安全专家表示,企业和安全团队必须将防控范围扩大,任何可能成为切入口的薄弱环节都要想到并覆盖到。

CISO请注意:Windows网络需要被强化了!

01
服务台和管理员


从定义来看,Windows 网络是指Windows操作系统中的网络服务,它包括多个组件和协议,用于实现计算机之间的通信和资源共享。与一般网络相比,Windows 网络具有更强大的功能和更丰富的配置选项,可以提供更稳定、可靠和安全的网络连接。对于国外大多数企业来说,Windows 网络是组织首选,但对于一些小型企业或个人用户来说,使用Windows 网络可能过于复杂和昂贵,他们可能会选择更简单的网络解决方案,如家庭路由器或Wi-Fi热点等。

安全软件公司Expel的CISO Greg Notch对此表示,以下种种建议虽以Windows 网络为对象,但也适用于其他网络情况。首先他介绍了,以服务台和IT管理员为目标是一种前沿的中心策略,攻击者会使用此策略来迷惑用户,大部分攻击者认为这是组织中的薄弱环节,同时也容易让其成为目标。Notch指出,识别服务台上的人员并不是什么难事,攻击者会利用访问IT支持的必要性,使其变得可被访问,而且这过程同样很方便。

许多组织会在其公共网站或社交媒体上广泛宣传自己,以获得更多的用户支持,因此只要在LinkedIn上搜索这些组织,就能找到这些组织中的关键人员,因为宣传内容通常会囊括组织中的职位信息。而一旦攻击者确定了谁在服务台上,他们就可以冒充员工向这些人发送钓鱼邮件,这和向手机发送钓鱼攻击短信一样简单。

对许多组织来说,比如医院、学校、政府等,他们没有能力提供用于双因素身份验证的专用电话,所以他们常常会用工作人员的个人电话来访问组织资产。Notch建议,对于任何可以访问双因素身份验证应用程序的商务电话,请考虑安装使用安全和管理软件,这些软件会审查和设备访问相关的链接或网站。“也可以将Microsoft Defender for Endpoint等软件部署到手机上,以更好地保护iPhone和Android用户。”

当然,如果员工拒绝在个人手机上安装此类软件,Notch认为,企业始终要学会提供替代方案,比如 Yubikey 硬件令牌之类。“随着影响Android和iPhone的零日漏洞不断出现,我们要常常考虑这些设备是否能够免受安全问题的侵害,因此必须对其进行严格的监控和管理。”

02
监管第三方报告

Cyren的CISO Michael Tamir表示,企业要考虑与第三方供应商一起处理支持事件的指导原则。最近发生的Okta数据泄露事件就是一个典型的例子,该事件利用了HTTP Archive(HAR)文件,这是一种JSON格式的文件,所包含的内容是用户浏览器记录的最新网络活动。

如今,网络上有这么多应用程序,供应商通常会要求客户创建一个HAR文件,以调试访问问题,而这些HAR文件通常会包含攻击者可以使用的敏感信息和cookie文件。Tamir指出,所有浏览器工具中的“网络”选项卡都可以用来记录HTTP会话。“如果有谁从未查看过HAR文件所包含的内容,可以访问网站并执行以下操作进行查看:在Chrome中,访问某个敏感的网站网页;开发者工具可以通过菜单访问(菜单>更多工具>开发者工具),然后从新打开的面板中选择网络选项卡;在‘网络’选项卡上,确保左上角的圆形按钮为红色,如果为灰色,请双击它以开始记录交互;启用保留日志以记录所有Web请求和响应;导出HAR文件,单击网络选项卡中向下的箭头按钮,最后将HAR文件保存到计算机(也可以使用httpwatch等程序实时查看事务)。”

到了这一步,Tamir表示,可以在HAR分析程序甚至记事本中打开此文件,然后就会发现,该文件包含有关身份验证令牌、Cookie、会话令牌、密码和API凭据等信息。如果技术支持团队需要这些文件,那么企业就要确保相关人员知道这些文件通常包含敏感或专有信息,在将信息发送给第三方之前,需要将这些信息进行清理。

03
确保所有员工拥有MFA(多因素身份验证)

在今年早些时候,Notch指出,某次黑客攻击里,美国国务院成为了他国攻击者的目标,安全团队最后发现,代码签名证书嵌入在了公共存储库中的内存转储里,而内存转储来自于一名可以访问敏感级别信息的微软员工。

CISO请注意:Windows网络需要被强化了!
“当然,攻击者也会攻击组织中向其他领导层报告底层员工。再次强调,社交媒体和LinkedIn是攻击者最强有力的突破口,因为这些平台会记录员工之间的关系,同时其上所产生的数据,也容易让攻击者分析出企业内部可能存在的关系联结。因此,组织要确保所有员工都拥有多因素身份验证,而不是只靠用户名和密码来访问资源,这是最重要的管控手段。”

CISO请注意:Windows网络需要被强化了!

最近,CISA发布了一份关于网络钓鱼指南的文件,其上指出,组织仅仅聚焦于防病毒是远远不够的,其中多因素身份验证是攻击者非法获取凭证的主要缓解措施。

Tamir补充道,另一种常见的攻击是恶意软件钓鱼。“恶意行为者会向目标发送恶意链接并诱骗他们发动攻击。针对这种攻击的缓解措施包括了应用程序允许列表,以及运行端点检测和响应代理。但不要只在工作站上使用这种保护,也要考虑在电话和设备上使用这些保护。”

Tamir表示,组织要考虑额外的保护措施,比如一些DNS工具,这些工具可以预先扫描用户将要访问的网站和链接,而且不需要花费很多钱,甚至可以以低成本或零成本获得。“组织要确保即使是那些在家工作的员工,也能设置他们的家用路由器,比如让他们具备像OpenDNS之类的DNS过滤工具,并指导他们在其上做出正确的选择和运用。”

04
还需要加强Web策略

此外,国外知名CSO Dan Lohrmann指出,如果组织想进一步确保内部受到保护,可以考虑相关的网络政策,比如阻止员工访问一些敏感网站,除非这些网络能满足组织的业务需求。“我在学校里注意到了这一点,因为学校的教职员工和孩子年龄都不大,他们不需要访问互联网上所有的内容。”

Lohrmann表示,对一些公司来说,限制访问网站似乎过于严厉,但如果可以的话,还是尽可能做到这一点吧,因为今时不同往日,在外部威胁不断加剧的当下,组织不知道何时就会被某些攻击者盯上,而互联网上的各种网站就是最好的突破口,像著名的APT攻击,往往都是以“人畜无害的网站”为踏板。“很少有员工具备安全意识和知识,因此只能从政策上限制他们的行为,否则一个不注意,这些员工就可能成为定时炸弹。与其在之后的日子里要防备他们,不如从一开始就严厉些吧。”

另一方面,Tamir建议,组织可以查看所有应用程序和第三方交互的日志记录,以及其保留时间,通常只有在查看后,才能确定攻击者是如何获得访问权限的。“今年,在国务院遭到攻击后,CISA和其他机构不得不敦促微软扩大,将更多的日志记录作为默认程序。最初,微软承诺会在今年10月前向所有用户推出Mailitemsacsed日志记录,然而从微软目前发出的博客来看,此用于识别攻击者访问内容的工具,至少要到明年9月才能问世。”

05
其他一些建议

最后,Notch做了些许总结。他表示,除了网络问题之外,Windows操作系统本身还存在一些安全漏洞和隐患,如缓冲区溢出、权限提升等。这些漏洞可能被黑客利用,导致系统被攻击和数据泄露。因此,需要不断更新和修复操作系统,以减少安全风险。而为了保护网络安全,还需要对网络服务进行管理和监控,确保只有授权用户可以访问网络资源,同时防止恶意软件的传播和攻击。

另外,在数据传输和存储方面,Windows 网络也需要加强安全措施。例如,对于敏感数据,需要进行加密和权限控制,确保只有授权用户可以访问和修改数据。同时,对于数据的备份和恢复也需要加强管理,以避免数据丢失和泄露。最后,组织在安全管理方面也需要改进,比如需要加强对网络设备和应用程序的监控和管理,及时发现和处理安全问题。同时,需要对员工进行网络安全培训和教育,提高他们的安全意识和技能水平。

CISO请注意:Windows网络需要被强化了!
“而最重要的是,不要在看了这诸多建议后,只是强化了操作系统,强化了身份验证,强化了服务台,强化了所保存的日志文件,而是需要将这所有的强化措施都结合起来。换句话说,组织需要具备的是‘重视网络安全’的决心,这样所有的策略和方针才会围绕安全实施,才不会让攻击者有机可乘。”
06
国内安全专家的建议

对于如何改进Windows网络或其他网络的安全措施,国内安全专家如此建议。

知乎相关专家“非诚勿扰”表示,国内企业用的网络不一定是Windows网络。虽然Windows操作系统被广泛使用,但企业网络通常是由路由器、交换机、服务器等网络设备构成,这些设备不一定都使用Windows系统。这些网络设备可能使用不同的操作系统,例如Linux等,这些系统在企业网络中也被广泛使用。

CISO请注意:Windows网络需要被强化了!

在网络安全配置方面,“非诚勿扰”认为企业可以做好以下几点措施:

1、及时更新操作系统和软件:及时更新操作系统和软件是保护电脑网络安全的基础。操作系统和软件的更新通常包括补丁程序和安全更新,这些更新可以修复已知的漏洞和弱点,提升系统的安全性。因此,定期检查并更新操作系统和安装的软件,是确保电脑网络安全的第一步。

2、安装可靠的防病毒软件:安装可靠的防病毒软件是电脑网络安全的重要措施之一。防病毒软件可以实时监测、扫描和清除电脑中的病毒、恶意软件等威胁,保护电脑免受病毒的侵害。要选择知名品牌、更新频繁、用户口碑较好的防病毒软件,并及时更新病毒库,以确保电脑网络安全。

3、配置网络防火墙:配置网络防火墙是保护企业网络安全的必要措施。防火墙可以监控网络流量,阻止未经授权的网络连接,保护企业网络免受外部攻击。

4、实施安全策略:制定并实施安全策略是保护企业网络安全的重要步骤。安全策略包括限制网络访问、控制数据传输、加密数据等措施,可以有效地提高企业网络的安全性。

5、定期备份数据:定期备份数据是保护企业网络安全的重要措施之一。如果发生网络攻击或数据泄露,可以通过备份数据快速恢复业务系统,减少损失。

6、培训员工:培训员工是提高企业网络安全的重要措施。员工应该了解网络安全的重要性,掌握基本的网络安全知识,避免因操作不当或安全意识不足而导致的网络安全问题。

7、定期审计:定期审计是确保企业网络安全的重要措施。通过审计可以发现潜在的安全风险和漏洞,及时采取措施加以解决,提高企业网络的安全性。

另一位知乎相关专家“wang”表示,Windows网络安全配置提升并不是自己需要考虑的内容,而对于国内企业该如何提升安全配置才是首要目标。为此,他提出了以下几点建议:

1. 做好基础网络安全监测与防御

首先就是要加强员工在网络安全方面的意识,其次是要定期对网络进行扫描,如果发现有什么漏洞问题,就要及时修复并做好基础监测和防御。当然,这也不能脱离优先级计划。

2. 定期进行网络安全培训

提高员工安全意识最好的方法,就是定期给全公司员工做网络安全培训,让员工了解网络安全基础知识。培训方法可以用场景模拟等手段,比如创建模拟事件,让员工直观地了解网络钓鱼攻击的形式。

3. 使用复杂的密码,并保持密码更新频率

企业要对电脑、路由器、服务器设置复杂的密码,并每年更改。谨记,切勿对多个设备设置相同或相似密码。

4. 计算机务必安全地联网

企业员工不可连接安全未知性的网络,因为组织系统被入侵的主要途径之一,就是无保护地连接到了犯罪分子伪造的公共热点上。

5. 定期下载并安装所有补丁/更新。

无论是操作系统、硬件,还是关键业务软件等,都要勤打补丁,否则一旦出现漏洞,恶意利用程序就会紧随其后,而及时打补丁是防范漏洞攻击最好的办法。

6. 使用双重(或多重)身份验证

企业使用双重(或多重)身份验证,可以消除大部分数据和隐私泄露的隐患。

7. 切记备份

企业一定要做好数据备份。当下市场上有许多云备份服务商可以选择,组织需要根据业务性质,选择符合需求的服务。其中有一项重要功能需要确保,那就是“无限制拷贝”,即组织每次更改文件时,服务内容都会自动保存一份副本。备份也是应对勒索软件攻击最好的选择。

9. 硬件更新评率不超过3-4年/次

此外,计算机、服务器等硬件的安全性非常重要,硬件制造商每年都会对产品的安全性进行升级,所以建议尽量加大硬件更新频率。但最好不超过3-4年/次,以避免不必要的风险。

原文地址:
https://www.csoonline.com/article/1248963/batten-down-the-hatches-its-time-to-harden-every-facet-of-your-windows-network.html
作者:

CISO请注意:Windows网络需要被强化了!

Susan Bradley PatchManagement.org listserve的主持人

CISO请注意:Windows网络需要被强化了!

原文始发于微信公众号(安在):CISO请注意:Windows网络需要被强化了!

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年12月8日23:53:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CISO请注意:Windows网络需要被强化了!https://cn-sec.com/archives/2281410.html

发表评论

匿名网友 填写信息