本文来自英国的NCSC，编译过来是为了大家对英国在网络安全方面的资料有个大致了解，以便我们对比与参考。

网络是许多组织运营、安全和弹性的基础。本指南介绍了在设计、维护或使用需要安全和弹性的网络时需要考虑的关键主题。还将帮助您将 NCSC 的网络安全设计原则应用于网络。“进一步阅读”部分提供了更多技术信息。

笔记

虽然这里涵盖的一些主题与基于云的网络相关，但您应该参考NCSC的云安全指南来获取有关基于云的网络的具体信息。

识别资产

知道网络是由哪些资产组成的吗？

识别构成网络的所有资产是实现安全性和弹性的关键一步。攻击者可以访问受害者网络的一种常见方式是通过组织不知道的网络上的系统，因此没有得到适当的保护（或停用）。

资产管理指导

施资产管理，确保良好的网络安全。

介绍

如果您想应用有效的安全控制，了解您环境中的资产是至关重要的。保护您了解的东西要容易得多。

本指南阐述了资产管理对网络安全的重要性，并概述了实现良好网络安全结果所需的属性和实践。

下面，我们对资产给出一个实际的定义，指出一些有用的数据来源，并详细说明资产管理和网络安全如何互惠互利。

资产管理挑战

资产类型多样，数量庞大，即使是在小型组织中，资产管理也具有挑战性。必须考虑硬件、软件、虚拟基础设施、信息和在线账户等因素。

这项努力是值得的，因为资产管理可以帮助避免许多安全事故。在需要的地方拥有正确的资产可见性，让您有机会在事故发生之前采取补救措施。

什么是资产？

资产可被视为任何可用于为您的组织创造价值的东西。

这包括信息，例如知识产权或客户数据。它还涵盖多种技术，包括 IT 和OT、硬件和软件、物理位置和金融资本。当然，它还包括您的员工、他们的知识和技能。

从网络安全角度来看，我们主要关注两种类型的资产：

1. 必须配置或管理才能实现安全结果的资产。

   对于 IT 资产，IT 服务管理标准（例如 ITIL 4 和 ISO 20000）将此类资产称为配置项。

2. 可能因网络事件受到影响的资产。

   这些往往就是您想要保护的东西。

影子IT

“影子 IT” 也称为灰色 IT，是指组织内部用于商业目的但未作为资产和风险管理流程的一部分进行核算或未与企业 IT 流程集成的 IT 资产。

此类设备令人担忧，因为它们不太可能符合组织的安全或数据治理政策，因此构成未知风险。

资产管理的重要性

资产管理并不是制作永远不会使用的列表或数据库。良好的资产管理意味着创建、建立和维护有关资产的权威和准确信息，以便在您最需要时进行日常运营和高效决策。

资产管理为网络安全的大多数其他领域提供了基础：

• 风险管理。了解和管理网络风险取决于资产是否被纳入考量。如果资产被忽视，则缺乏适当的安全控制措施将难以察觉，从而导致风险无法管理。

• 管理遗留产品。所有软件和硬件最终都会过时。如果继续使用产品，风险就会增加，或者需要增加成本来降低风险。资产管理可以帮助组织确定系统何时会停止支持并提前规划。我们的过时产品指南可以进一步帮助管理遗留资产。

• 身份和访问管理。为了实施有效的身份和访问管理系统，必须能够识别用户和设备。资产管理可以帮助确保所有用户和设备都具有唯一身份，还可以帮助识别需要应用访问控制的资源。有关更多详细信息，请参阅我们的身份和访问管理简介。

• 漏洞和补丁管理。网络系统最好的防御措施之一是确保它们不包含已知漏洞，因为这些漏洞很容易成为攻击点。掌握硬件和软件资产的准确信息是确保应用可用更新和了解在何处扫描漏洞的基础。每当宣布高影响漏洞时，能够快速回答诸如“漏洞 X 会影响我们吗？”之类的问题也很有用。有关此主题的更多信息，请参阅我们的漏洞管理和漏洞扫描工具和服务 指南。

• 监控。有些威胁是无法预防的，因此您必须有能力检测和调查潜在的威胁，从而减轻任何威胁。有效的监控能力取决于能否访问正确的数据。资产管理可以帮助您识别监控能力可能需要的相关数据源和丰富信息。我们的安全日志记录简介和日志记录和保护性监控指南可以为您提供进一步的帮助。

• 事件管理、响应和恢复。了解您的资产并确定哪些资产对您的组织最为重要，有助于您规划、响应和恢复事件。通过确保不会遗漏任何重要信息并掌握正确的信息，您将能够迅速采取行动并最大限度地减少干扰。

• 不仅仅是网络安全。大多数业务运营都依赖于资产管理的某些方面。这包括 IT 运营、财务会计、管理软件许可证、采购和物流。虽然它们可能并非都需要相同的信息，但各自的要求之间会存在一些重叠和依赖关系。安全方面不应孤立地考虑或作为资产信息的主要消费者，因此在整个组织中整合和协调资产管理将有助于减少或管理这些功能之间的任何冲突。

将资产管理融入您的组织

资产管理实施起来很有挑战性，它需要整个组织的协调。正确的资产管理不仅仅关乎技术。采购等非技术职能也必须参与资产管理生命周期。

鉴于这些复杂性，获得高级管理层的支持非常重要。整个资产管理系统也必须有一个“所有者”。如果没有所有者，整个组织的协调将很困难，资产也可能没有效率。

资产管理应成为企业架构或网络安全流程的一部分，并定期向高级管理层汇报资产管理流程的当前状态。

良好的资产管理方法应包括哪些内容

资产管理系统将具有许多可以从网络安全角度增加价值的功能。

您的环境可能已经具备利用部分或全部这些属性的工具。但所有环境都不同，因此您应该评估每个功能的需求。

下表详述了设计资产管理系统时应考虑的网络安全因素。此列表无序。

• 资产发现。使用工具定期或持续扫描您的环境以查找新的、修改的或删除的资产。这有助于维护您的资产的准确清单，并可用于检测对您的环境的未经授权的更改。

• 权威信息来源。维护一份大家都同意反映环境的资产记录。考虑规范和整合资产信息，以避免重复并使其更易于访问。这可确保所有利益相关者都能有效使用收集到的信息，并且不需要额外的努力来验证。

• 准确的信息来源。应定期收集资产信息，以确保信息保持最新状态，并记录“置信度”分数或“上次查看”时间戳，以反映信息的陈旧程度或不确定性。每周收集一次服务器信息可能比较合适，因为变化不频繁，但每天可能需要收集一次桌面信息，以进行配置核算或漏洞管理

• 资产信息的可用性。确保资产信息可访问，以支持组织中的相关用例。配置管理数据库 (CMDB) 可能是资产管理解决方案的重要组成部分，但它可能需要一系列工具的支持，以促进整个组织资产数据的收集、处理、存储和使用。这确保收集到的资产信息能够得到有效利用。

• 人为因素。资产管理流程应满足整个组织用户的需求，并考虑可用性和可访问性等人为因素。务实的做法可能是必要的，以避免过度的官僚主义。使用资产信息来简化业务流程可能有助于激励用户充分参与资产管理流程。这有助于确保资产信息的准确性不会因用户寻找变通方法和诉诸影子 IT 而降低。

• 自动化。应尽可能使用自动化机制来更新资产记录。理想情况下，工具应记录资产信息以响应环境变化，而不是在变化发生后才检测变化。应鼓励新项目从一开始就纳入自动化资产管理，以避免在系统开发或随着时间的推移被放弃时产生技术债务。这有助于确保维护准确的记录，并且不太可能遗漏或遗忘更新，同时还可以减少所需的持续成本和工作量。

• 完整性。确保所有资产都符合资产管理流程的要求。这应包括物理、虚拟和云资源，以及贵组织的互联网存在，形式包括社交媒体帐户、域名注册、IP 地址空间和数字证书。这有助于避免任何资产未配置适当的安全控制，并且是合规性和漏洞扫描所必需的。

• 全面可视性。确定您的组织将如何使用资产信息，并确保收集足够的资产详细信息以支持这些用例。例如，了解机器上安装的所有软件的版本有助于识别比仅了解操作系统版本更广泛的漏洞。如果某些详细信息可能难以捕获或成本高昂，请考虑是否可以减少捕获频率或追溯捕获这些详细信息，同时采取网络分离等其他缓解措施。这有助于确保资产数据得到有效利用，不会因收集方面的差距而变得无法使用。

• 变更检测。确保记录资产信息的变化，并使用多个数据源来识别不一致之处。例如，网络上新发现的设备没有相应的设备管理注册。这有助于识别对您环境的未经授权的更改，并有助于调查安全事件。

• 保密性。考虑所收集资产数据的敏感性。应用适当的保护和访问限制，同时确保支持相关用例。例如，所有用户都应该能够查找他们负责的资产，但应防止任意批量查询。考虑监控对资产数据的访问，以发现可能的侦察迹象。这可确保资产数据可有效用于各种用例，同时使潜在攻击者难以找到有用的信息。

• 使用前注册。应在首次使用前或首次使用时收集资产信息。这可以通过流程和检测功能来强制执行。例如，证书身份应仅颁发给已注册的资产，以防止未注册的设备对其他系统进行身份验证。这降低了创建影子 IT 的风险，因为未注册的资产很难进入并保留在您的环境中。

• 资产分类。考虑定义并使用类别对资产进行分类。这应与您的风险管理方法保持一致。例如，根据系统处理的信息的敏感度或是否支持关键业务功能对系统进行分类。这有助于确定每项资产的相关安全控制措施并监控是否符合安全政策。

数据源

以网络安全为重点的资产管理系统所需的数据可能来自多个来源。您需要的信息不一定来自典型的资产管理工具 - 它可能是一个程序的输出。还要注意，一个工具可能能够提供多个数据源。

主动和被动数据源

应该考虑主动和被动数据源的组合，以确保整个环境的全面可见性。

您应该在安全且适当的情况下使用主动扫描技术。如果主动扫描存在问题，请使用被动扫描工具。基于主机的代理和网络扫描等主动源可以深入了解资产。但是，由于网络限制或潜在的设备不稳定，主动源检测新资产的能力可能有限，或者可能不适合某些环境，例如 OT 网络。

被动数据源可以通过寻找副作用而不是直接询问资产来提供额外的可见性。这可能包括网络源（DNS 和 DHCP 日志或流量捕获）或应用程序访问和身份验证日志，这些日志可能识别试图与其他系统通信的设备。这些来源不会像主动来源那样生成那么多详细信息，但可用于验证现有资产数据或检测环境变化。

示例数据源

一些示例数据源包括：

• 采购记录。了解已购买的内容可为您提供与资产管理数据库进行交叉引用的来源。这可能无法识别免费获得的资产或通过非标准采购途径获得的资产。免费云服务就是一个特殊的例子，其中的数据可以在几乎没有监督的情况下存储。

• 移动设备管理器或系统/设备管理工具。许多系统配置或移动设备管理器可捕获资产管理系统所需的信息。但是，这些系统可能仅捕获通用 IT 信息，可能不支持传统 IT。

• 日志记录和监控平台。这些平台可用于验证配置数据库或检测新资产或更新资产，包括云服务的使用。这可能包括主机或网络日志（交换机、DHCP、DNS、代理等）等来源。日志记录和监控平台可用作持续发现阶段的一部分。

• 漏洞管理平台。与监控和日志记录工具一样，这既可以用作持续发现的一部分，也可以用于验证配置管理信息的“单一来源”。这种类型的平台还可以添加更丰富的信息，例如操作系统和补丁级别。

• 手动输入。有时，工具和自动化并不适合或不切实际。例如，当您只需要管理少量资产或不寻常资产时。这些情况下的手动输入仍应通过定期审查保持最新状态。

• 来自开发和工程团队的信息。设计、构建和维护系统的人员将拥有最深入的基本事实知识。架构图或设计模式等文档可以帮助您了解系统中预期的资产类型。

• 公钥基础设施。审计记录可用于识别已从内部和公共证书颁发机构颁发证书的用户和系统。这可用于根据颁发的证书类型确定相关角色。例如，网络基础设施设备不应具有与公共 Web 服务器相同类型的证书。

验证资产管理系统

您怎么知道有些事情您不知道？验证您的资产管理流程可以确保您不会无意中忽略任何资产。

您应该考虑一系列场景，包括是否可以在不被检测到的情况下添加或更改资产。例如，如果用户将一台新笔记本电脑连接到您的网络，您是否有能力检测到此设备及其配置？或者，如果在设备上安装了新软件，是否会检查其是否存在漏洞？

有多种方法可以帮助验证您的资产管理流程：

• 考虑在渗透测试范围内识别、添加和修改设备。这可能会识别出内部和面向公众的资产管理流程中的差距或弱点。

• 查找日志数据中的异常，例如来自未识别设备的网络流量。这可能表明存在不受管理的设备。

• 识别过时的资产记录。这些记录可能表示设备尚未更新或已被重新利用。

• 将采购记录和云账单与资产记录进行核对。查找已购买但未被资产管理流程捕获的资产。

获取、管理和处置网络设备

为组织提供有关网络设备的采购、管理和处置的建议。

介绍

保护网络免受网络攻击似乎是一件令人望而生畏的事情。本指南建议在设备的获取、管理和处置方面采取一些简单的步骤，以减少成功攻击的机会。

获取和部署网络设备

在新网络和现有网络中获取和初始部署网络设备可能会无意中损害系统未来的安全性。如果设备的完整性（或其初始配置负载）未得到适当保护，则有权访问该设备的攻击者将能够允许自己将来访问信息和受保护的系统。

设备采购和初始准备

所有设备都应通过信誉良好的渠道采购，以确保其为正品。在部署到最终网络之前，设备应在适当的环境中进行准备。

仅建议在类似的客户环境之间重复使用设备 - 例如将现有（非加密）客户路由器转换为加密网关，或将加密端点从组织的一部分重新部署到另一部分。特定端点的具体要求可能在这些产品的安全程序中描述。

现场部署

设备应通过确保可跟踪和可追溯的方式运输到最终位置。如果可能，最好将设备交付给已确定的个人。设备应采用防篡改包装进行运输，并在部署前验证包装完好无损。

可能需要将终端设备存储在临时环境之外，例如将其部署到特定站点以备将来的网络服务交付。在这种情况下，设备应存储在与其使用环境大致相似的环境中（例如，在同一个数据中心、通信室或物流设施中）。如果坚持这一原则，并保留设备存储位置的完整记录，则可以将未使用的设备重新部署到其他环境。

初始注册和配置

根据 VPN 和相关 PKI 的性质，可以将注册配置文件集中加载到端点设备上。或者，工程师可能需要在现场将特定的初始配置加载到设备上，以适应特定的环境和网络。无论哪种情况，都应保护此初始配置的完整性。

配置文件和相关资料应以受控的方式生成和存储，以便对它们的更改进行审核，并且只能由授权人员进行。部署这些文件并将其加载到端点设备上的机制需要确保未经授权的个人无法修改它们；这可以通过使用现有的管理基础设施或通过应用和检查数字签名来实现。

在设备部署时，可能需要生成端点证书并将其注册到相关 PKI。此技术流程应反映在 PKI 管理基础设施中的业务流程和活动中，以确保只有预期注册的设备才被允许注册。例如，现场工程师可能需要在工作跟踪系统中预先输入信息才能启动注册流程，PKI 也可能需要事先授权注册设备证书。

如果没有这样的流程，就很难确保只有需要证书的设备才能访问合法凭证，从而增加了未经授权的端点能够与网络建立可信通信的可能性。

管理网络设备

保护网络免受网络攻击看似艰巨。然而，采取一些简单的措施让攻击者的生活更加艰难，可以降低攻击成功的可能性。

设备信息安全

终端配置信息通常不敏感，但私钥、密码和从这些值派生的类似信息除外。需要保护此类信息的完整性，以确保终端连接到正确的网络，并且不会发生错误配置。

管理网络

我们强烈建议创建一个管理网络来在所有网络设备上执行管理任务。

• 网络元素的管理只能通过管理网络或本地管理接口进行。

• 管理终端应仅用于访问系统管理工具和设备的管理界面。它们不应能够直接访问其他网络（例如互联网）或打开未经过滤的丰富内容（例如电子邮件和附件，或来自管理系统外部的文件共享的内容）。例如，通过远程桌面或类似的“浏览”机制浏览互联网或访问公司资源是可以接受的。

• 应严格控制对管理网络的访问。供应商和第三方的访问（例如协助调试）不应默认启用，而应根据具体情况在有限时间内允许，并进行控制以确保只能执行预期的活动。

• 系统管理活动应与业务流程紧密结合，以便于有效审计。系统管理变更应能追溯到执行该变更的个人及其原因。

• 让合格的安全架构师参与管理网络的设计将有助于确保架构能够抵御常见攻击、具有适当的安全控制，并允许服务有效安全运行。具备适当技能的人员应包括高级或领导级别的 CCP“IA 架构师”。

管理人员许可

任何个人，只要能够不受监管地访问大量设备或多个客户组织的私钥（或有能力同时更改多个设备的配置），就属于特权角色，应该接受适当的背景调查。这对于有能力更改多个设备配置或影响多个客户服务的工程师来说尤其重要。

具有管理特权的员工应至少获得 BPSS 级别 BS7858:2012或同等级别的批准。组织可以考虑  针对具有特殊特权的角色采取增强的安全筛查措施。

设备管理

管理流量必须始终受到保护。安全程序中包含了受信任设备的可接受管理方法，但作为一般原则，管理流量必须加密、完整性受保护，并且至少与受保护的用户数据一样经过身份验证。IPsec、SSH 和 TLS 是实现此目的的可接受方法。

交通	建议保护
设备管理	SSH/IPsec/TLS，具有端点加密认证
CRL/OCSP	由于设计保护完整性，因此不适用
证书注册协议	应通过管理链接执行

只要有可能，就必须通过物理或加密机制将管理流量与数据流量分开。如果可能，设备管理应通过与数据流量分开的物理或逻辑 LAN、WAN 或环回接口进行。这有助于最大限度地减少受管设备的攻击面，并防止潜在攻击者干扰他们不需要访问的流量和接口。

必须控制允许对设备进行管理访问的凭证，以确保只有具有合法要求的人员才能执行管理功能。工程师只能被授予访问他们负责维护的设备的凭证的权限。当工程师的角色发生变化时，他们的访问权限应进行相应的调整/撤销，并且他们可能有权访问的任何设备管理密码或私钥都必须更改。

使用代理设备访问的系统也是可以接受的，并且不需要工程师直接访问特权凭证。

具有特权访问的工程师可能还需要受到监控，以确保他们的活动符合管理其行为的政策。

设备维护

在某些情况下，您可能需要将端点设备或设备诊断信息（如崩溃转储或日志）返回给设备制造商以帮助解决问题。主要风险是设备（或诊断信息）可能无意中包含用户信息或当前凭据/密钥，这可能会允许将来访问网络。

我们强烈建议不要授予供应商任何形式的端点设备的直接远程访问权限，而是通过管理网络来代理和严格控制此类访问（如果需要）。

在向供应商提供退回的设备或诊断信息之前，应酌情撤销或更改与该设备相关的任何凭据。您可能无法完全从退回的诊断文件或设备中删除敏感信息，并且可能不希望覆盖它们，因为这可能会妨碍任何调查。至关重要的是，受影响客户网络的信息所有者必须了解计划采取哪些行动，以及采用哪些机制来保护可能留在设备或诊断文件中的任何数据。他们还必须同意这些机制是适当的，并且他们乐意以这种方式发布他们的信息。

建立管理连接

当需要从管理网络建立到端点设备的管理连接时，应采取技术和程序措施，确保连接到真实设备，并且连接不会受到干扰。理想情况下，这是通过使用先前建立的加密信任（例如通过交换证书，或通过带外验证 SSH 指纹）。非加密机制可能会导致此类连接遭受中间人攻击，因此应避免使用。

网络设备的退役和处置

重要的是，设备退役和处置程序不会无意中损害信息或网络。参与为网络提供安全功能的设备很可能保留敏感信息，即使在断电时也是如此。目标是确保设备不太可能包含任何可恢复的用户信息，并且无法重新连接到加密网络。

以下建议应适用于所有参与提供加密网络服务的设备：

• 在设备处置之前，应撤销与设备相关的所有证书（包括操作、管理和维护）。

• 与设备相关的任何其他凭证都应酌情更改或撤销。

•  对于处理过解密信息的任何设备，都应遵循我们的存储介质安全清理指南中的建议 。

• 应采取恢复出厂设置或擦除设备等措施作为一般预防措施。

具体情况

任何设备（例如 VPN 网关），如果 NCSC 已发布安全程序，则应按照该文件中的指导退役和处置。通常，这将涉及对设备中存储的任何配置数据进行低级擦除，然后重置为出厂默认设置。必须酌情撤销和/或更改与设备相关的任何证书或其他凭据。

周围的产品被视为有害（除非证明有害）

在互联网发展的早期，少数网络攻击者通过非常简单的外围攻击（例如登录服务的弱密码）和服务中相对简单的漏洞入侵目标。这让他们得以进入当时遥测和取证能力较差的网络。

随着越来越多的组织上线，防御者在锁定边界、进行漏洞扫描和修补系统方面也做得越来越好。攻击者还意识到，直接针对用户设备意味着立即访问用户可以访问的文件和资源。

因此，许多攻击者不再关注外围，而是转向丰富的客户端软件和钓鱼电子邮件。浏览器不安全，端点上的其他所有软件实际上也不安全。可以假设 Office 宏（可能未锁定）存在于大多数目标中。

这一切都导致了大量妥协。

然而，近年来的发展使得通过网络钓鱼攻击终端变得更加困难。常见的客户端程序（尤其是那些从互联网打开文件的程序）已经经历了十年的考验，因此客户端软件供应商不得不转向纵深防御/安全设计方法，例如删除危险功能、沙盒、完全重写、内存安全语言等（没有防御者会为 ActiveX 的消失而感到惋惜）。最近，微软对宏默认值的更改基本上关闭了这条路线，因此当攻击者试图找到允许代码执行的模糊文件格式时，他们面临的收益递减。格式越模糊，防御者就越容易发现。

因此，攻击者被迫“改变策略”。在某些情况下，他们会通过网络钓鱼获取凭证/云数据的访问权限，或者再次瞄准网络边界。他们知道自己不太可能依赖弱密码或错误配置，因此越来越多地关注网络边界的产品（例如文件传输应用程序、防火墙和 VPN），在这些产品中寻找新的零日漏洞，然后直接进入。一旦发现漏洞，其他攻击者就会加入其中，从而造成大规模攻击。

寻找零日漏洞/新漏洞听起来可能非常先进，但其中许多漏洞都是众所周知的网络漏洞，很容易找到和利用。戴夫·艾特尔 (Dave Aitel) 在OffensiveCon 23 主题演讲中表示：“如果你寻找硬漏洞，那么很难找到漏洞。你应该寻找容易的漏洞。”

攻击者已经意识到，大多数暴露在外围的产品都不是“设计安全”的，因此漏洞比流行的客户端软件更容易被发现。此外，这些产品通常没有像样的日志记录（或可以轻松进行取证调查），在每个客户端设备都可能运行高端检测功能的网络中，这些产品成为完美的立足点。

英国政府及其合作伙伴正在努力确保产品“设计安全”，但这需要时间。与此同时，攻击者将继续通过可访问互联网的产品进入网络。

网络防御者能做什么？

1. 1

   强烈要求供应商说明其产品是否设计安全。我们都需要开始要求供应商提供证据，证明他们销售的软件设计安全。这应该是采购流程的一部分，以及评估是否允许第三方产品进入您的边界。然而，令人悲伤的事实是（正如 NCSC 首席技术官 Ollie Whitehouse 在他的博客“ Landing at the NCSC ”中解释的那样），对于许多供应商来说，安全性仍然是事后才考虑的问题。因此，绝大多数边界产品供应商将无法提供证据，但我们需要开始要求他们提供证据。

2. 2

   如果供应商无法提供证据证明其产品在设计上是安全的，则不要允许其进入您的边界。相反，您应该考虑云托管版本的产品，使用“软件即服务”/ SaaS 可以让您免于维护底层基础设施。在迁移到云时，您应该要求供应商提供相同级别的设计安全证据，特别是对于身份提供商等关键解决方案。NCSC云安全原则在这里很有用，可以推动供应商对这些原则的回应（几个供应商有公开回应）。遗憾的是，您可能仍然会在“无法证明设计安全的自托管解决方案”和“同样无法证明设计安全的 SaaS 等效产品”之间做出最不坏的选择。您的决定应该基于当可以识别出一个安全的竞争对手时，您从该服务迁移到该服务的难易程度。用“软件即服务”解决方案替换自托管边界服务仍可能降低风险，原因如下：

• 攻击仍会使数据面临风险，但不应让攻击者在你的网络上立足

• 供应商的安全团队可能会专注于监控他们的服务（而您的团队需要监控组织的所有服务）

• 如果数据被泄露，你的数据就有可能不是从供应商那里获取的数据（除非你特别高调）

3. 3

   如果您还不能从自托管服务中迁移，请降低风险。许多漏洞（例如Ivanti Connect 中被广泛利用的问题）并非存在于核心服务中，而是存在于附加服务中（例如 Web 门户和管理界面）。组织应关闭（或在防火墙处阻止）他们不需要的任何面向互联网的软件的界面、门户或服务。

4. 4

   让自己的开发人员遵守同样的标准。组织必须确保他们自己构建的服务和产品在设计上是安全的。云托管和使用无服务器等技术可以成为其中的一部分，通过限制服务受到损害时可能造成的损害。

遗憾的是，全面修补的边界意味着您可以免受除最先进的攻击者之外的所有攻击，这种日子已经一去不复返了。边界上的任何设备，即使是完全修补过的，也越来越容易受到攻击，除非您有证据表明它可以抵御攻击，否则您应该考虑将其移除。我们正在进入这样的时代：组织需要开始进行边界扫描，并且不会发现任何可访问的端口。

NCSC长期以来一直建议采用云优先、“优先使用 SaaS”的安全方法，而对可通过互联网访问的第三方产品的攻击的成功也强化了这种方法。当然，这需要正确执行；攻击者还试图通过网络钓鱼和滥用信任关系来获取对云服务的访问权限。但在下一轮安全游戏中，加速向 SaaS 的迁移并要求供应商提供更多服务是一项重要的防御举措。

原文始发于微信公众号（河南等级保护测评）：网络安全基础知识之识别资产