讀紅藍攻防:技術與策略23安全策略

分類:科技
瀏覽數:1138

1. 安全策略

1.1. 一套好的安全策略對於確保整個公司遵循一套明確的基本規則至關重要,這些規則將有助於保護其數據和系統

1.2. 安全計劃的一部分包括安全意識培訓,該培訓對最終用戶進行安全相關主題的教育

1.3. 最終用戶始終是安全鏈中最薄弱的一環

2. 安全策略檢查

2.1. 安全策略是一個常新的文檔,它需要修改和更新

2.2. 安全策略應該包括行業標準、程序和指南,這都是支持日常運營中的信息風險所必需的內容

2.3. 了解安全策略的適用範圍非常必要

2.4. 策略應說明其適用的領域

2.5. 如果它適用於所有的數據和系統,那麼這一點必須讓它的每個讀者都清楚

2.6. 安全策略的基礎應該是基於三位一體的安全屬性(機密性、完整性和可用性)

  • 2.6.1. 用戶需要保護並確保三位一體的安全屬性在數據和系統中的適用性,這與數據的創建、共享或存儲方式無關
  • 2.6.2. 用戶必須了解他們的責任,以及違反這些策略的後果
  • 2.6.3. 確保策略中包括指定角色和責任的部分,因為這對於事後問責來說非常重要

2.7. 文檔之間的區別

  • 2.7.1. 策略:這是一切的基礎;它設定了高級別的期望,還將用於指導決策和達成成果
  • 2.7.2. 程序:顧名思義,它是一個文檔,有一些程序步驟,概述了做事的流程
  • 2.7.3. 標準:本文檔規定了必須遵循的要求
    • 2.7.3.1. 每個人都必須遵守以前建立的某些標準
  • 2.7.4. 指南:雖然許多人會認為指南是可選項,但實際上它們是推薦的指導準則
    • 2.7.4.1. 每家公司都可以自由定義這些準則是可選項,還是推薦項
  • 2.7.5. 最佳實踐:由整個公司或公司內的某些部門實施的最佳實踐
  • 2.7.6. 為確保所有這些點都是同步的、受管理的,並且有上層管理部門的支持,你需要在組織範圍內創建一個安全計劃

2.8. 左移方法

  • 2.8.1. 由於雲計算的採用,左移方法持續增多,因為大多數的左移實現都使用基於雲計算的技術
  • 2.8.2. 「左移」的目標是確保安全策略作為護欄添加到管道的起點,以避免在不使用公司標準的情況下提供工作負載
  • 2.8.3. 如果你在管道的一開始就制定好了策略,那麼配置不符合公司標準的資源將會失敗,並且不會部署到生產環境中
  • 2.8.4. 必須添加所有必要的護欄以避免部署默認情況下不安全的資源
  • 2.8.5. 安全正在左移時,是因為目標是在開發生命周期的早期也包括安全
  • 2.8.6. 從開發者的角度來看,他們不應該只在部署了應用程序之後才考慮安全,而應在開發過程的每個階段都考慮安全,從開始到結束
  • 2.8.7. 如今,開發人員正在應用程序開發的各個步驟中使用自動化,他們使用「持續集成/連持續交付(Continuous Integration/Continuous Delivery,CI/CD)」來實現這一點
  • 2.8.8. 在雲計算中,你也可以使用自動化持續部署資源,並且安全策略必須左移,以確保部署符合安全策略的資源

3. 用戶教育

3.1. 在意識培訓下,最終的用戶教育是管理安全控制的一部分

  • 3.1.1. 可能是安全計劃中最重要的部分之一,因為一個沒有受過安全實踐教育的用戶可能會對你的組織造成巨大的損害

3.2. 最大的惡意軟體垃圾郵件行動仍然主要依賴於社會工程學技術

3.3. 另一個被用來發起社會工程學攻擊的平台是社交媒體

3.4. 許多用戶使用自己的設備來訪問公司信息,這種做法被稱為「自帶設備」(Bring Your Own Device,BYOD),當他們參與像這樣的虛假社交媒體活動時,他們很容易成為黑客的目標

3.5. 所有這些場景只能讓教育用戶防範這類攻擊以及其他類型的社會工程學攻擊(包括社會工程學的物理方法)變得更有說服力

3.6. 用戶社交媒體安全指南

  • 3.6.1. 安全計劃必須符合人力資源和法律關於公司應該如何處理社交媒體帖子的要求,同時也要給員工提供關於如何處理自己的社交媒體的指導
  • 3.6.2. 使用社交媒體時的適當商業行為對安全策略有直接影響
  • 3.6.3. 對跨越這一界限的員工的紀律處分應該非常明確
  • 3.6.4. 需要提出的重要準則是如何處理誹謗性帖子,以及色情帖子、專有問題、騷擾或可能造成敵意工作環境的帖子
  • 3.6.5. 在攻擊的偵察階段,威脅行為者可能會掃描社交媒體,以發現應用模式和關於公司的更多信息
  • 3.6.6. 社交媒體指南通常也作為整體安全意識培訓的一部分來執行,因為許多威脅行為者可能會參與社交媒體對話,以表達對某人的同情心,並建立關係以獲得更多信息
  • 3.6.7. 當人們開始在網上表達更多信息時,他們可能會透露更多關於自己的偏好、政治和社會觀點的信息
  • 3.6.8. 社交媒體的指南必須不斷更新,以符合當前的趨勢

3.7. 安全意識培訓

  • 3.7.1. 公司應對所有員工提供安全意識培訓,並應不斷更新以融入新的攻擊技術和注意事項,許多公司都在其內部網路在線提供這樣的培訓
  • 3.7.2. 良好的文字和豐富的視覺元素是培訓材料的重要屬性,但必須將用戶置於實際場景中
    • 3.7.2.1. 讓用戶與計算機交互,以識別魚叉式網路釣魚或虛假的社交媒體活動
    • 3.7.2.2. 在培訓結束時,所有用戶都應確認他們成功完成了培訓,不僅要了解培訓中涵蓋的安全威脅和對策,還要了解不遵守公司安全策略的後果
  • 3.7.3. 要確保每季度至少更新一次安全意識培訓內容,以包括新的攻擊和場景
    • 3.7.3.1. 即使從技術角度來看沒有新的攻擊,總會有新的利用場景可供大家借鑒

4. 策略實施

4.1. 一旦完成了安全策略構建,就該付諸實施,實施時將根據公司的需要使用不同的技術

4.2. 理想情況下,你會擁有網路架構圖,以充分了解哪些是端點,擁有哪些伺服器,信息如何流轉、存儲在哪裡,誰擁有和誰應該擁有數據訪問許可權,以及網路的不同入口點等

4.3. 許多公司未能完全執行策略,是因為它們只考慮在終端和伺服器上實施策略,而忽略了其他設備

4.4. 如果不確定安全策略的當前狀態,則應使用PowerShell命令Get-GPOReport執行初步評估,以將所有策略導出到HTML文件

  • 4.4.1. 在對當前組策略進行更改之前,建議備份當前配置並複製此報告

4.5. 可以用來執行評估的工具是策略查看器,它是Microsoft Security Compliance Toolkit的一部分

  • 4.5.1. 優勢在於,它不僅可以查看GPO,還可以查看策略與註冊表項值之間的關聯
  • 4.5.2. 這是一個很大的優勢,因為策略的更改可以立即反映到註冊表中,便於快速了解變化情況

4.6. 掌握這些知識可以幫助你對問題進行故障排除,甚至可以調查更改這些註冊表項的安全事件,還能立即知道威脅行為者試圖實現的目標,因為你知道他們試圖更改的策略

4.7. 雲上策略

  • 4.7.1. 如果有一個在本地和雲上包含工作負載的混合環境,那麼你還需要確保為基於雲的資源制定適當的策略
  • 4.7.2. 在Azure中,這可以使用Azure Policy來完成
  • 4.7.3. 在設計如何分配管理組和訂閱時,更重要的是要了解哪些策略將僅用作審核,哪些策略要強制執行
  • 4.7.4. 在雲計算中,我們希望確保用戶能夠自己提供資源,但也需要確保安全到位,以防止部署不安全的資源
    • 4.7.4.1. 這就是你需要調整的平衡

4.8. 應用程序白名單

  • 4.8.1. 如果組織的安全策略規定只允許授權的軟體在用戶的計算機上運行,則需要防止用戶運行未經許可的軟體,並限制未經IT授權的許可軟體的使用
  • 4.8.2. 策略實施可確保只有授權的應用程序才能在系統上運行
  • 4.8.3. 應該創建授權在公司中使用的所有應用程序的列表
    • 4.8.3.1. 每個應用程序的安裝路徑是什麼?
    • 4.8.3.2. 供應商對這些應用程序的更新策略是什麼?
    • 4.8.3.3. 這些應用程序使用哪些可執行文件
  • 4.8.4. 可以獲得的關於應用程序本身的信息越多,你用來確定應用程序是否被篡改的有形數據就越多
  • 4.8.5. 對於Windows系統,你應該計劃使用AppLocker並指定允許哪些應用程序在本地計算機上運行
    • 4.8.5.1. 發布者:如果要創建一個規則來評估由軟體供應商簽名的應用程序,則應使用此選項
    • 4.8.5.2. 路徑:如果要創建一個規則來評估應用程序路徑,則應使用此選項
    • 4.8.5.3. 文件散列:如果要創建一個規則來評估未經軟體供應商簽名的應用程序,則應使用此選項
  • 4.8.6. 要在蘋果操作系統中將應用程序列入白名單,可以使用GateKeeper
  • 4.8.7. 在Linux操作系統中,可以使用SELinux
  • 4.8.8. 將應用程序列入白名單的另一個選擇是使用Microsoft Defender for Cloud等平台,該平台利用機器學習功能來了解有關應用程序的更多信息,並自動創建應該列入白名單的應用程序列表
    • 4.8.8.1. 此功能的優勢在於,它不僅適用於Windows,也適用於Linux
    • 4.8.8.2. 機器學習通常需要兩周的時間來了解這些應用程序,之後建議提供一個應用程序列表,然後你可以按原樣啟用,或者你可以對該列表進行定製
    • 4.8.8.3. 自適應應用程序控制適用於Azure虛擬機,以及位於內部部署的計算機和其他雲提供商
  • 4.8.9. 重要的是要確保白名單為你的組織提供正確的應用程序,並防止訪問任何可能造成傷害的應用程序
    • 4.8.9.1. 確保只有必要的人可以訪問組織內必要應用程序的一個重要步驟,但它也非常值得在其他領域採用護欄和強化防禦

4.9. 安全加固

  • 4.9.1. 當開始規劃策略部署,並解決應該更改哪些設置以更好地保護計算機時,基本等於是在對其進行安全加固以減少攻擊媒介
  • 4.9.2. 可以將通用配置枚舉(Common Configuration Enumeration,CCE)準則應用於計算機
  • 4.9.3. 請不要將CCE與通用漏洞和暴露(Common Vulnerability and Exposure,CVE)混為一談,後者通常要求部署補丁,以緩解被暴露的某個漏洞
  • 4.9.4. 若要優化部署,你還應該考慮使用安全基線
    • 4.9.4.1. 這不僅可以幫助你更好地管理計算機的安全方面,還可以幫助你更好地管理其對公司策略的合規性要求
  • 4.9.5. 對於Windows平台,你可以使用Microsoft Security Compliance Manager
  • 4.9.6. 雖然CCE是開始加固系統的一個很好的替代方案,但你還應該考慮組織必須對齊的合規要求
  • 4.9.7. 支付卡行業數據安全標準(Payment Card Industry Data Security Standard,PCI DSS)
    • 4.9.7.1. 建議規定了每個角色為履行其工作職能而需要訪問的系統組件和數據資源的安全控制要求,以及訪問資源所需的許可權級別
  • 4.9.8. 不同的行業標準有不同的標籤,如果你有不同的工作負載需要符合不同的行業標準,這也可以幫助你衡量當前的合規狀態
  • 4.9.9. 一旦了解了將使用的基線類型,你就可以在管道的開頭部署護欄,以強制執行這些標準,並避免創建不符合要求的工作負載
    • 4.9.9.1. 在默認情況下保持所有新配置的工作負載安全的重要步驟,換句話說,使用必要的強化級別以符合所選擇的標準

5. 合規性監控

5.1. 執行策略對於確保將高層管理人員的決策轉化為優化公司安全狀態的實際行動很重要,但監控這些策略的合規性同樣必不可少

5.2. 建議查看許多安全策略,以確定機器是否使用建議的配置來減輕潛在威脅

5.3. Microsoft Defender for Cloud不會為你部署配置

  • 5.3.1. 這是一個監視工具,而不是部署工具,這意味著你需要獲得建議的對策,並使用其他方法部署它

5.4. 在監控合規性時,還需要考慮自動執行某些任務,以利於響應和整改

  • 5.4.1. 以這種方式自動化執行某些任務不僅可以節省IT部門的大量時間,還可以確保基本的網路安全策略得到全面執行

6. 通過安全策略持續推動安全態勢增強

6.1. 當管理的混合環境中既有內部資源又有雲資源時會發生許多變化

6.2. 為了對添加到基礎設施的新資源具有適當級別的可見性,需要用到雲安全態勢管理(Cloud Security Posture Management,CSPM)平台

  • 6.2.1. CSPM平台將幫助你發現添加的新工作負載,並了解這些工作負載的安全狀態
  • 6.2.2. 一些CSPM工具能夠掃描以識別新資源,並枚舉這些資源缺少的安全最佳實踐

6.3. Secure Score(安全分數)

  • 6.3.1. 擁有一個可用作安全密鑰性能指示器(Key Performance Indicator,KPI)的功能
  • 6.3.2. 假設一切都處於安全狀態(綠色狀態),那麼你可以獲得100%的安全評分
  • 6.3.3. 每項安全控制都有一個Max score,這將讓你知道一旦按照安全控制中的所有建議採取行動,你會獲得多少收益
  • 6.3.4. 為持續推動安全態勢增強,你需要衡量隨著時間推移而取得的進展,Secure Score正適用於此
科技分類資訊推薦
科技分類視頻推薦