读红蓝攻防：技术与策略23安全策略

1. 安全策略

1.1. 一套好的安全策略对于确保整个公司遵循一套明确的基本规则至关重要，这些规则将有助于保护其数据和系统

1.2. 安全计划的一部分包括安全意识培训，该培训对最终用户进行安全相关主题的教育

1.3. 最终用户始终是安全链中最薄弱的一环

2. 安全策略检查

2.1. 安全策略是一个常新的文档，它需要修改和更新

2.2. 安全策略应该包括行业标准、程序和指南，这都是支持日常运营中的信息风险所必需的内容

2.3. 了解安全策略的适用范围非常必要

2.4. 策略应说明其适用的领域

2.5. 如果它适用于所有的数据和系统，那么这一点必须让它的每个读者都清楚

2.6. 安全策略的基础应该是基于三位一体的安全属性（机密性、完整性和可用性）

• 2.6.1. 用户需要保护并确保三位一体的安全属性在数据和系统中的适用性，这与数据的创建、共享或存储方式无关
• 2.6.2. 用户必须了解他们的责任，以及违反这些策略的后果
• 2.6.3. 确保策略中包括指定角色和责任的部分，因为这对于事后问责来说非常重要

2.7. 文档之间的区别

• 2.7.1. 策略：这是一切的基础；它设定了高级别的期望，还将用于指导决策和达成成果
• 2.7.2. 程序：顾名思义，它是一个文档，有一些程序步骤，概述了做事的流程
• 2.7.3. 标准：本文档规定了必须遵循的要求
• 2.7.3.1. 每个人都必须遵守以前建立的某些标准
• 2.7.4. 指南：虽然许多人会认为指南是可选项，但实际上它们是推荐的指导准则
• 2.7.4.1. 每家公司都可以自由定义这些准则是可选项，还是推荐项
• 2.7.5. 最佳实践：由整个公司或公司内的某些部门实施的最佳实践
• 2.7.6. 为确保所有这些点都是同步的、受管理的，并且有上层管理部门的支持，你需要在组织范围内创建一个安全计划

2.8. 左移方法

• 2.8.1. 由于云计算的采用，左移方法持续增多，因为大多数的左移实现都使用基于云计算的技术
• 2.8.2. “左移”的目标是确保安全策略作为护栏添加到管道的起点，以避免在不使用公司标准的情况下提供工作负载
• 2.8.3. 如果你在管道的一开始就制定好了策略，那么配置不符合公司标准的资源将会失败，并且不会部署到生产环境中
• 2.8.4. 必须添加所有必要的护栏以避免部署默认情况下不安全的资源
• 2.8.5. 安全正在左移时，是因为目标是在开发生命周期的早期也包括安全
• 2.8.6. 从开发者的角度来看，他们不应该只在部署了应用程序之后才考虑安全，而应在开发过程的每个阶段都考虑安全，从开始到结束
• 2.8.7. 如今，开发人员正在应用程序开发的各个步骤中使用自动化，他们使用“持续集成/连持续交付(Continuous Integration/Continuous Delivery，CI/CD)”来实现这一点
• 2.8.8. 在云计算中，你也可以使用自动化持续部署资源，并且安全策略必须左移，以确保部署符合安全策略的资源

3. 用户教育

3.1. 在意识培训下，最终的用户教育是管理安全控制的一部分

• 3.1.1. 可能是安全计划中最重要的部分之一，因为一个没有受过安全实践教育的用户可能会对你的组织造成巨大的损害

3.2. 最大的恶意软件垃圾邮件行动仍然主要依赖于社会工程学技术

3.3. 另一个被用来发起社会工程学攻击的平台是社交媒体

3.4. 许多用户使用自己的设备来访问公司信息，这种做法被称为“自带设备”(Bring Your Own Device，BYOD)，当他们参与像这样的虚假社交媒体活动时，他们很容易成为黑客的目标

3.5. 所有这些场景只能让教育用户防范这类攻击以及其他类型的社会工程学攻击（包括社会工程学的物理方法）变得更有说服力

3.6. 用户社交媒体安全指南

• 3.6.1. 安全计划必须符合人力资源和法律关于公司应该如何处理社交媒体帖子的要求，同时也要给员工提供关于如何处理自己的社交媒体的指导
• 3.6.2. 使用社交媒体时的适当商业行为对安全策略有直接影响
• 3.6.3. 对跨越这一界限的员工的纪律处分应该非常明确
• 3.6.4. 需要提出的重要准则是如何处理诽谤性帖子，以及色情帖子、专有问题、骚扰或可能造成敌意工作环境的帖子
• 3.6.5. 在攻击的侦察阶段，威胁行为者可能会扫描社交媒体，以发现应用模式和关于公司的更多信息
• 3.6.6. 社交媒体指南通常也作为整体安全意识培训的一部分来执行，因为许多威胁行为者可能会参与社交媒体对话，以表达对某人的同情心，并建立关系以获得更多信息
• 3.6.7. 当人们开始在网上表达更多信息时，他们可能会透露更多关于自己的偏好、政治和社会观点的信息
• 3.6.8. 社交媒体的指南必须不断更新，以符合当前的趋势

3.7. 安全意识培训

• 3.7.1. 公司应对所有员工提供安全意识培训，并应不断更新以融入新的攻击技术和注意事项，许多公司都在其内部网络在线提供这样的培训
• 3.7.2. 良好的文字和丰富的视觉元素是培训材料的重要属性，但必须将用户置于实际场景中
• 3.7.2.1. 让用户与计算机交互，以识别鱼叉式网络钓鱼或虚假的社交媒体活动
• 3.7.2.2. 在培训结束时，所有用户都应确认他们成功完成了培训，不仅要了解培训中涵盖的安全威胁和对策，还要了解不遵守公司安全策略的后果
• 3.7.3. 要确保每季度至少更新一次安全意识培训内容，以包括新的攻击和场景
• 3.7.3.1. 即使从技术角度来看没有新的攻击，总会有新的利用场景可供大家借鉴

4. 策略实施

4.1. 一旦完成了安全策略构建，就该付诸实施，实施时将根据公司的需要使用不同的技术

4.2. 理想情况下，你会拥有网络架构图，以充分了解哪些是端点，拥有哪些服务器，信息如何流转、存储在哪里，谁拥有和谁应该拥有数据访问权限，以及网络的不同入口点等

4.3. 许多公司未能完全执行策略，是因为它们只考虑在终端和服务器上实施策略，而忽略了其他设备

4.4. 如果不确定安全策略的当前状态，则应使用PowerShell命令Get-GPOReport执行初步评估，以将所有策略导出到HTML文件

• 4.4.1. 在对当前组策略进行更改之前，建议备份当前配置并复制此报告

4.5. 可以用来执行评估的工具是策略查看器，它是Microsoft Security Compliance Toolkit的一部分

• 4.5.1. 优势在于，它不仅可以查看GPO，还可以查看策略与注册表项值之间的关联
• 4.5.2. 这是一个很大的优势，因为策略的更改可以立即反映到注册表中，便于快速了解变化情况

4.6. 掌握这些知识可以帮助你对问题进行故障排除，甚至可以调查更改这些注册表项的安全事件，还能立即知道威胁行为者试图实现的目标，因为你知道他们试图更改的策略

4.7. 云上策略

• 4.7.1. 如果有一个在本地和云上包含工作负载的混合环境，那么你还需要确保为基于云的资源制定适当的策略
• 4.7.2. 在Azure中，这可以使用Azure Policy来完成
• 4.7.3. 在设计如何分配管理组和订阅时，更重要的是要了解哪些策略将仅用作审核，哪些策略要强制执行
• 4.7.4. 在云计算中，我们希望确保用户能够自己提供资源，但也需要确保安全到位，以防止部署不安全的资源
• 4.7.4.1. 这就是你需要调整的平衡

4.8. 应用程序白名单

• 4.8.1. 如果组织的安全策略规定只允许授权的软件在用户的计算机上运行，则需要防止用户运行未经许可的软件，并限制未经IT授权的许可软件的使用
• 4.8.2. 策略实施可确保只有授权的应用程序才能在系统上运行
• 4.8.3. 应该创建授权在公司中使用的所有应用程序的列表
• 4.8.3.1. 每个应用程序的安装路径是什么？
• 4.8.3.2. 供应商对这些应用程序的更新策略是什么？
• 4.8.3.3. 这些应用程序使用哪些可执行文件？
• 4.8.4. 可以获得的关于应用程序本身的信息越多，你用来确定应用程序是否被篡改的有形数据就越多
• 4.8.5. 对于Windows系统，你应该计划使用AppLocker并指定允许哪些应用程序在本地计算机上运行
• 4.8.5.1. 发布者：如果要创建一个规则来评估由软件供应商签名的应用程序，则应使用此选项
• 4.8.5.2. 路径：如果要创建一个规则来评估应用程序路径，则应使用此选项
• 4.8.5.3. 文件散列：如果要创建一个规则来评估未经软件供应商签名的应用程序，则应使用此选项
• 4.8.6. 要在苹果操作系统中将应用程序列入白名单，可以使用GateKeeper
• 4.8.7. 在Linux操作系统中，可以使用SELinux
• 4.8.8. 将应用程序列入白名单的另一个选择是使用Microsoft Defender for Cloud等平台，该平台利用机器学习功能来了解有关应用程序的更多信息，并自动创建应该列入白名单的应用程序列表
• 4.8.8.1. 此功能的优势在于，它不仅适用于Windows，也适用于Linux
• 4.8.8.2. 机器学习通常需要两周的时间来了解这些应用程序，之后建议提供一个应用程序列表，然后你可以按原样启用，或者你可以对该列表进行定制
• 4.8.8.3. 自适应应用程序控制适用于Azure虚拟机，以及位于内部部署的计算机和其他云提供商
• 4.8.9. 重要的是要确保白名单为你的组织提供正确的应用程序，并防止访问任何可能造成伤害的应用程序
• 4.8.9.1. 确保只有必要的人可以访问组织内必要应用程序的一个重要步骤，但它也非常值得在其他领域采用护栏和强化防御

4.9. 安全加固

• 4.9.1. 当开始规划策略部署，并解决应该更改哪些设置以更好地保护计算机时，基本等于是在对其进行安全加固以减少攻击媒介
• 4.9.2. 可以将通用配置枚举(Common Configuration Enumeration，CCE)准则应用于计算机
• 4.9.3. 请不要将CCE与通用漏洞和暴露(Common Vulnerability and Exposure，CVE)混为一谈，后者通常要求部署补丁，以缓解被暴露的某个漏洞
• 4.9.4. 若要优化部署，你还应该考虑使用安全基线
• 4.9.4.1. 这不仅可以帮助你更好地管理计算机的安全方面，还可以帮助你更好地管理其对公司策略的合规性要求
• 4.9.5. 对于Windows平台，你可以使用Microsoft Security Compliance Manager
• 4.9.6. 虽然CCE是开始加固系统的一个很好的替代方案，但你还应该考虑组织必须对齐的合规要求
• 4.9.7. 支付卡行业数据安全标准(Payment Card Industry Data Security Standard，PCI DSS)
• 4.9.7.1. 建议规定了每个角色为履行其工作职能而需要访问的系统组件和数据资源的安全控制要求，以及访问资源所需的权限级别
• 4.9.8. 不同的行业标准有不同的标签，如果你有不同的工作负载需要符合不同的行业标准，这也可以帮助你衡量当前的合规状态
• 4.9.9. 一旦了解了将使用的基线类型，你就可以在管道的开头部署护栏，以强制执行这些标准，并避免创建不符合要求的工作负载
• 4.9.9.1. 在默认情况下保持所有新配置的工作负载安全的重要步骤，换句话说，使用必要的强化级别以符合所选择的标准

5. 合规性监控

5.1. 执行策略对于确保将高层管理人员的决策转化为优化公司安全状态的实际行动很重要，但监控这些策略的合规性同样必不可少

5.2. 建议查看许多安全策略，以确定机器是否使用建议的配置来减轻潜在威胁

5.3. Microsoft Defender for Cloud不会为你部署配置

• 5.3.1. 这是一个监视工具，而不是部署工具，这意味着你需要获得建议的对策，并使用其他方法部署它

5.4. 在监控合规性时，还需要考虑自动执行某些任务，以利于响应和整改

• 5.4.1. 以这种方式自动化执行某些任务不仅可以节省IT部门的大量时间，还可以确保基本的网络安全策略得到全面执行

6. 通过安全策略持续推动安全态势增强

6.1. 当管理的混合环境中既有内部资源又有云资源时会发生许多变化

6.2. 为了对添加到基础设施的新资源具有适当级别的可见性，需要用到云安全态势管理(Cloud Security Posture Management，CSPM)平台

• 6.2.1. CSPM平台将帮助你发现添加的新工作负载，并了解这些工作负载的安全状态
• 6.2.2. 一些CSPM工具能够扫描以识别新资源，并枚举这些资源缺少的安全最佳实践

6.3. Secure Score（安全分数）

• 6.3.1. 拥有一个可用作安全密钥性能指示器(Key Performance Indicator，KPI)的功能
• 6.3.2. 假设一切都处于安全状态（绿色状态），那么你可以获得100%的安全评分
• 6.3.3. 每项安全控制都有一个Max score，这将让你知道一旦按照安全控制中的所有建议采取行动，你会获得多少收益
• 6.3.4. 为持续推动安全态势增强，你需要衡量随着时间推移而取得的进展，Secure Score正适用于此