大家都知道的那些防禦思路，卻鮮有人做到

本周的威脅情報播報中，接連記述了三起數據泄漏事件。一句諺語，是這麼說「好的事情總是單獨來，壞的事情總是成群結隊來」。就數據泄漏這樣的違規事件或者更早的WannaCry勒索軟體事件，以下的安全建設與防禦思路，我們總結了不止一次，再次奉上。

或者，換而言之，「假定數據泄漏的違規事件一定會發生，只是早晚的問題」；以下這些方式方法及行動，您做到了哪些？

認真的做好前期準備工作

執行風險評估

在如今的信息化發展程度下，註定了面面俱到地進行安全管理是一件幾乎不可能的事情。企業的安全建設是不斷規避風險的動態過程，因此需要大家通過不斷根據業務目標來調整相應的安全措施，將工作重點聚焦在對您業務產生最大影響的風險上。

建立對等的安全保護

企業網路在一開始進行設計和架構的時候都是很不錯的，但是隨著業務的持續發展，網路複雜度和規模都會持續增加，這就導致安全方案的效果越來越差，或者為了維持相同的效果而變得十分複雜。無論是那種，最終都會遇到網路盲點，而導致保護不到位。要充分了解自己的優勢和弱點，就要利用可見性和控制能力來識別和管控這些優勢和弱點。

你還需要評估攻擊者對於關鍵數據的攻擊路徑，包括漏洞鏈（或稱為組合漏洞），幫助你優先考慮要解決哪些漏洞。業界有很多值得借鑒和參考的框架指南，比如ISO，CIS關鍵安全控制（SANSTop 20）和NIST網路安全框架。

資產識別

企業網路的規模在迅速擴大，並且聯通了各種生態系統，從虛擬化數據中心到混合多雲環境。再加上接入網路的終端設備數量的不斷增長以及物聯網設備的爆炸式增長，建立和維護設備的準確清單是一件極富挑戰性的工作。

你可能需要投資一些在網路中來識別設備類型、操作系統和補丁狀態等等資產狀況的工具。在大型環境中，還需要將這些信息與良好的威脅情報聯繫起來，才能查看並確定最高風險的優先順序。

紮實的做好防禦工作

讓自己的內網安全基礎高一些

實際上，絕大多數攻擊針對的是已經有補丁可用的漏洞，至少已有三年時間，其中有的達十年之久。

盤點系統，建立更新機制。 接下來，在確保你所管理的設備已打補丁之後，確保那些不能控制的設備與系統進行隔離或建立了拒絕訪問策略。 您還需要確定並替換或刪除那些無法修補或保護的系統。理想情況下，整個過程需要自動化來降低重複的人工勞動，持續跟蹤修復情況，並且持續監測網路安全態勢。

將本地與全球威脅情報整合進SIEM平台中

高級威脅情報使組織能夠縮短檢測威脅的時間，縮小檢測與響應之間的差距。靠本地情報是遠遠不夠的，及時了解全球最新的威脅趨勢和漏洞利用情況是安全管理人員的基礎功課。將這些數據轉變為可操作的情報，就能驅動基礎設施數據與本地情報進行交叉關聯，這可能需要安全信息和事件管理（SIEM）和Web應用防火牆（WAF）來消費這些情報和數據，將之轉換為可執行的安全策略，甚至能夠自動執行策略來保護網路。

SIEM工具還可以匯總來自整個網路的數據，將其與本地和全球威脅情報源相關聯，然後提供即時詳細信息，如IoC（失陷信標）和安全策略違規情況。

部署基於簽名的安全工具

企業對於安全的投入始終在尋找投入產出比的絕佳平衡點。在大多數情況下被利用的漏洞都是已知的，所以針對這些漏洞的攻擊可以使用基於簽名/特徵的方法來檢測。基於特徵的檢測工具可以讓您快速查找並阻止任何嘗試的滲透，或執行針對已知漏洞的漏洞利用。這已經可以幫助企業解決所面臨的大多數威脅了。

使用基於行為的分析與數據清理工具

基於簽名/特徵的檢測只能解決一部分問題。高端、複雜的攻擊者可以輕鬆規避傳統保護措施並免疫多種檢測手段。這意味著您還需要一些高級威脅防護工具，例如基於行為誘發和和識別技術的沙箱來檢測用於發起零日攻擊的惡意軟體變體或定製惡意軟體，並與其他安全基礎架構進行協同聯動。此外，用戶與實體行為分析（UEBA）工具還可以更輕鬆地識別內部安全威脅並找到犯罪者。

說起來容易做起來難。攻擊者還使用先進的技術，例如學習和模仿合法的流量模式以逃避檢測。安全工具不僅需要檢查數據和應用程序，尋找隱藏的惡意軟體，而且還要提供深入檢查、分析、查詢以及關聯行為模式，最終檢測並確定惡意目的。在可能的情況下，智能安全系統需要能夠主動自動進行干預，以便在攻擊開始之前阻止攻擊。

另外一種新的趨勢是使用CDR（Content Disarm& Reconstruction）工具。CDR處理傳入的文件，解構它們，並刪除其中的可執行內容，比如宏、腳本、超鏈接等等，通過主動從特定文件中刪除惡意內容來提升在文件側進行零日攻擊防護的能力，從而防止意外載入鏈接的惡意軟體和惡意可執行文件。

用WAF保護針對Web的攻擊

許多威脅不再通過傳統途徑進入網路。利用Web應用漏洞進行的針對Web的攻擊情況呈指數級增長 -特別是那些直接在數據中心查詢和挖掘信息的應用程序。

由於對自主開發和定製的Web應用程序的需求增長十分快速，許多組織根本沒有時間或資源在部署之前對其進行充分測試和加固。縮小差距的一個有效方法是部署WAF。 這些安全設備專門設計用於提供遠遠超出傳統NGFW技術所提供的Web應用程序流量的深入高性能檢測。

把單點防禦連起來

考慮到今天的多維度和智能威脅的性質，安全解決方案需要相互關聯成為一個可以跨越並適應彈性網路架構的生態系統。動態集成和關聯提供了整個網路的實時可視性，這是至關重要的，因為你無法抵禦您無法看到的威脅。

網路隔離

鑒於網路化生態系統的流動性以及跨越多個網路的廣泛應用和數據流，建立並維護安全有效的網路隔離比以往任何時候都更加重要，從而防止威脅在網路中橫向移動和肆意傳播。

不管是在單一環境中收集和關聯大量數據還是互連跨越多個網路環境的情況，建立隔離控制措施尤為重要，隔離控制可以檢測已穿透一個網段的周邊並且正在橫向移動的威脅。如果沒有隔離和檢測工具，這些威脅可以自由採集、破壞和泄露數據。

其實，從「最壞的情況」出發的思考以及行動設定，不失為努力成為「最好的結果」的方式。

關於Fortinet（NASDAQ: FTNT）

Fortinet是全球領先的網路安全解決方案提供商。我們的客戶遍及全球，並且覆蓋最大型的企業、運營商、服務提供商、金融企業以及政企客戶。

Fortinet通過自身強大的安全研究能力與深厚的技術積累，讓用戶在進行威脅防禦時更智能、更快速，並且在不同的攻擊維度間建立更緊密的安全保護。此外，在如今的無邊界網路環境中，將卓越的性能融入到全面的安全保護之中，讓用戶放心應對當今和未來的網路變化與安全威脅。

Fortinet Security Fabric體系可以交付給用戶不妥協的安全能力，不論是應對何種艱巨的安全挑戰，不論是網路中、應用中、雲端或是移動環境皆如此。全球超過30萬家用戶信賴Fortinet，並使用Fortinet產品來保護他們的業務。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！