當(dāng)前，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)已成為企業(yè)數(shù)字化轉(zhuǎn)型的重要部分。鑒于網(wǎng)絡(luò)威脅不斷變化發(fā)展，網(wǎng)絡(luò)安全建設(shè)工作也需要從管理和技術(shù)層面共同推進(jìn)。因此，網(wǎng)絡(luò)安全主管部門有必要定期對(duì)組織的網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行安全檢查，全面了解網(wǎng)絡(luò)安全工作的責(zé)任落實(shí)、應(yīng)用效果和風(fēng)險(xiǎn)態(tài)勢(shì)情況。通過(guò)檢查，組織可以更積極落實(shí)網(wǎng)絡(luò)安全防護(hù)措施，持續(xù)做好網(wǎng)絡(luò)安全建設(shè)工作，切實(shí)提高企業(yè)職工的網(wǎng)絡(luò)安全意識(shí)與網(wǎng)絡(luò)安全防護(hù)能力。

　　現(xiàn)在適逢年中，很多企業(yè)都會(huì)在此時(shí)開展階段性網(wǎng)絡(luò)安全檢查工作。為了取得更好的檢查效果，建議安全檢查活動(dòng)組織者應(yīng)優(yōu)先完成以下十方面的工作：

　　1 檢查第三方的訪問(wèn)和憑證策略

　　攻擊者會(huì)掃描遠(yuǎn)程桌面協(xié)議（RDP）訪問(wèn)權(quán)限，并使用憑證填充等暴力攻擊手段，實(shí)施攻擊活動(dòng)。企業(yè)應(yīng)設(shè)法更好地管理外部供應(yīng)商的憑證或訪問(wèn)權(quán)限，因?yàn)獒槍?duì)他們的管控流程容易被忽視。無(wú)論是將對(duì)方列入組織的多因素身份驗(yàn)證（MFA）計(jì)劃中，還是通過(guò)訪問(wèn)和防火墻規(guī)則以限制其對(duì)特定網(wǎng)絡(luò)的訪問(wèn)，組織都應(yīng)該根據(jù)服務(wù)商級(jí)別協(xié)議和合同中約定的需求，明確對(duì)其訪問(wèn)和憑證的管理要求。用戶憑證在下發(fā)和存儲(chǔ)的過(guò)程中應(yīng)當(dāng)受到保護(hù)，在開展網(wǎng)絡(luò)安全檢查時(shí)需要檢查和審核這些流程是否存在漏洞。

　　2 檢查安全掃描結(jié)果

　　很多組織都會(huì)開展安全掃描工作，需要對(duì)掃描的結(jié)果進(jìn)行確認(rèn)，確保它們是從網(wǎng)絡(luò)威脅的視角開展的有效掃描活動(dòng)。組織在雇用滲透測(cè)試或第三方網(wǎng)絡(luò)風(fēng)險(xiǎn)掃描公司時(shí)，要確保對(duì)方提供的檢查結(jié)果體現(xiàn)了組織網(wǎng)絡(luò)的實(shí)際范圍。如果安全掃描不能夠提供可操作的實(shí)用信息，這樣的工作就會(huì)變得毫無(wú)價(jià)值。

　　3 審查云資源和許可權(quán)限

　　如果組織將業(yè)務(wù)系統(tǒng)遷移到云端，不能把本地的系統(tǒng)照搬到云端。安全團(tuán)隊(duì)需要審查云上資源是如何創(chuàng)建的，目前設(shè)置的系統(tǒng)權(quán)限是否合理。同時(shí)，企業(yè)還需要檢查哪些安全基準(zhǔn)或安全指南可以為加強(qiáng)組織的云上安全應(yīng)用提供額外的保護(hù)。

　　4 部署縮小攻擊面的規(guī)則

　　如果組織尚未將縮小攻擊面的規(guī)則部署到工作站和服務(wù)器以幫助阻止可疑網(wǎng)絡(luò)訪問(wèn)活動(dòng)，需要盡快將其列為下半年的重點(diǎn)工作目標(biāo)。組織可以從以下規(guī)則入手，啟用盡可能多的阻止規(guī)則：

　　阻止Office應(yīng)用程序創(chuàng)建子進(jìn)程、可執(zhí)行內(nèi)容以及代碼注入等活動(dòng)；

　　阻止來(lái)自電子郵件客戶軟件和網(wǎng)絡(luò)郵箱的可執(zhí)行內(nèi)容；

　　阻止執(zhí)行可能被混淆的腳本；

　　阻止JavaScript或VBScript啟動(dòng)下載的可執(zhí)行內(nèi)容；

　　阻止從USB運(yùn)行的不受信任、未簽名進(jìn)程；

　　阻止從Windows本地安全子系統(tǒng)（lsass.exe）竊取憑證（權(quán)限提升）；

　　阻止源自PSExec和WMI命令的進(jìn)程創(chuàng)建（橫向移動(dòng)）。

　　5 檢查網(wǎng)絡(luò)安全設(shè)置和策略

　　長(zhǎng)期以來(lái)，企業(yè)主動(dòng)設(shè)置的網(wǎng)絡(luò)訪問(wèn)權(quán)限規(guī)則較少，應(yīng)該檢查組織如何設(shè)置工作站安全配置，進(jìn)而檢查密碼安全和策略，并考慮將多重身份驗(yàn)證添加到現(xiàn)有活動(dòng)目錄中，以更好地識(shí)別網(wǎng)絡(luò)中的弱密碼。要確保有效開啟利用PIN、面部識(shí)別或指紋來(lái)快速安全訪問(wèn)的方式，或啟用其他第三方MFA解決方案，并審查MFA方面的策略選項(xiàng)配置合理。

　　6 檢查計(jì)算設(shè)備及系統(tǒng)的部署流程

　　要檢查組織部署和安裝計(jì)算設(shè)備及系統(tǒng)的流程是否規(guī)范，要確保在部署系統(tǒng)時(shí)未使用相同的本地管理密碼。一些本地管理員密碼解決方案可隨機(jī)生成和加密本地管理員密碼，應(yīng)檢查用于管理這類解決方案的選項(xiàng)是否正確配置。

　　7 檢查系統(tǒng)備份策略

　　檢查組織使用什么流程來(lái)備份和保護(hù)重要文件，包括檢查備份流程，確保擁有多個(gè)備份方式，不同備份應(yīng)放在不同類型的存儲(chǔ)介質(zhì)上，并至少有一個(gè)備份放在異地。組織還應(yīng)考慮使用云存儲(chǔ)來(lái)充當(dāng)額外備份方式，進(jìn)一步保護(hù)重要文件的安全。

　　8 檢查電子郵件系統(tǒng)安全

　　面對(duì)不斷加劇的郵件詐騙和釣魚攻擊，組織需要過(guò)濾和掃描電子郵件，以確保電子郵件在進(jìn)入員工終端計(jì)算設(shè)備之前得到安全性檢查和確認(rèn)。電子郵件中所附的鏈接應(yīng)在用戶點(diǎn)擊時(shí)進(jìn)行安全掃描，如果發(fā)現(xiàn)這些是惡意鏈接，應(yīng)及時(shí)阻斷訪問(wèn)行為并從員工的收件箱中刪除。

　　9 檢查補(bǔ)丁策略

　　處理補(bǔ)丁環(huán)節(jié)時(shí)，安全人員應(yīng)檢查組織的網(wǎng)絡(luò)過(guò)去曾遇到的問(wèn)題。如果邊緣設(shè)備沒有補(bǔ)丁方面的問(wèn)題，可以簡(jiǎn)化邊緣設(shè)備的更新，并賦予其優(yōu)先更新的權(quán)限。對(duì)于存在補(bǔ)丁問(wèn)題的計(jì)算設(shè)備，要檢查發(fā)生問(wèn)題的原因，以及打補(bǔ)丁行為可能帶來(lái)的副作用，并了解需要采取的緩解措施等，盡量減小打補(bǔ)丁帶來(lái)的副作用。

　　10 檢查終端設(shè)備的勒索軟件防護(hù)能力

　　由于勒索攻擊威脅的加劇，安全人員應(yīng)確保防病毒和端點(diǎn)檢測(cè)解決方案能夠識(shí)別勒索軟件攻擊的典型癥狀。當(dāng)文件備份突然被刪除，或者網(wǎng)絡(luò)中出現(xiàn)Cobalt Strike活動(dòng)以及其他可疑活動(dòng)時(shí)，終端安全解決方案應(yīng)該在攻擊者開始勒索活動(dòng)之前，能夠提前發(fā)出警報(bào)。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<