當(dāng)前，加強網(wǎng)絡(luò)安全建設(shè)已成為企業(yè)數(shù)字化轉(zhuǎn)型的重要部分。鑒于網(wǎng)絡(luò)威脅不斷變化發(fā)展，網(wǎng)絡(luò)安全建設(shè)工作也需要從管理和技術(shù)層面共同推進。因此，網(wǎng)絡(luò)安全主管部門有必要定期對組織的網(wǎng)絡(luò)信息系統(tǒng)進行安全檢查，全面了解網(wǎng)絡(luò)安全工作的責(zé)任落實、應(yīng)用效果和風(fēng)險態(tài)勢情況。通過檢查，組織可以更積極落實網(wǎng)絡(luò)安全防護措施，持續(xù)做好網(wǎng)絡(luò)安全建設(shè)工作，切實提高企業(yè)職工的網(wǎng)絡(luò)安全意識與網(wǎng)絡(luò)安全防護能力。

　　現(xiàn)在適逢年中，很多企業(yè)都會在此時開展階段性網(wǎng)絡(luò)安全檢查工作。為了取得更好的檢查效果，建議安全檢查活動組織者應(yīng)優(yōu)先完成以下十方面的工作：

　　1 檢查第三方的訪問和憑證策略

　　攻擊者會掃描遠(yuǎn)程桌面協(xié)議（RDP）訪問權(quán)限，并使用憑證填充等暴力攻擊手段，實施攻擊活動。企業(yè)應(yīng)設(shè)法更好地管理外部供應(yīng)商的憑證或訪問權(quán)限，因為針對他們的管控流程容易被忽視。無論是將對方列入組織的多因素身份驗證（MFA）計劃中，還是通過訪問和防火墻規(guī)則以限制其對特定網(wǎng)絡(luò)的訪問，組織都應(yīng)該根據(jù)服務(wù)商級別協(xié)議和合同中約定的需求，明確對其訪問和憑證的管理要求。用戶憑證在下發(fā)和存儲的過程中應(yīng)當(dāng)受到保護，在開展網(wǎng)絡(luò)安全檢查時需要檢查和審核這些流程是否存在漏洞。

　　2 檢查安全掃描結(jié)果

　　很多組織都會開展安全掃描工作，需要對掃描的結(jié)果進行確認(rèn)，確保它們是從網(wǎng)絡(luò)威脅的視角開展的有效掃描活動。組織在雇用滲透測試或第三方網(wǎng)絡(luò)風(fēng)險掃描公司時，要確保對方提供的檢查結(jié)果體現(xiàn)了組織網(wǎng)絡(luò)的實際范圍。如果安全掃描不能夠提供可操作的實用信息，這樣的工作就會變得毫無價值。

　　3 審查云資源和許可權(quán)限

　　如果組織將業(yè)務(wù)系統(tǒng)遷移到云端，不能把本地的系統(tǒng)照搬到云端。安全團隊需要審查云上資源是如何創(chuàng)建的，目前設(shè)置的系統(tǒng)權(quán)限是否合理。同時，企業(yè)還需要檢查哪些安全基準(zhǔn)或安全指南可以為加強組織的云上安全應(yīng)用提供額外的保護。

　　4 部署縮小攻擊面的規(guī)則

　　如果組織尚未將縮小攻擊面的規(guī)則部署到工作站和服務(wù)器以幫助阻止可疑網(wǎng)絡(luò)訪問活動，需要盡快將其列為下半年的重點工作目標(biāo)。組織可以從以下規(guī)則入手，啟用盡可能多的阻止規(guī)則：

　　阻止Office應(yīng)用程序創(chuàng)建子進程、可執(zhí)行內(nèi)容以及代碼注入等活動；

　　阻止來自電子郵件客戶軟件和網(wǎng)絡(luò)郵箱的可執(zhí)行內(nèi)容；

　　阻止執(zhí)行可能被混淆的腳本；

　　阻止JavaScript或VBScript啟動下載的可執(zhí)行內(nèi)容；

　　阻止從USB運行的不受信任、未簽名進程；

　　阻止從Windows本地安全子系統(tǒng)（lsass.exe）竊取憑證（權(quán)限提升）；

　　阻止源自PSExec和WMI命令的進程創(chuàng)建（橫向移動）。

　　5 檢查網(wǎng)絡(luò)安全設(shè)置和策略

　　長期以來，企業(yè)主動設(shè)置的網(wǎng)絡(luò)訪問權(quán)限規(guī)則較少，應(yīng)該檢查組織如何設(shè)置工作站安全配置，進而檢查密碼安全和策略，并考慮將多重身份驗證添加到現(xiàn)有活動目錄中，以更好地識別網(wǎng)絡(luò)中的弱密碼。要確保有效開啟利用PIN、面部識別或指紋來快速安全訪問的方式，或啟用其他第三方MFA解決方案，并審查MFA方面的策略選項配置合理。

　　6 檢查計算設(shè)備及系統(tǒng)的部署流程

　　要檢查組織部署和安裝計算設(shè)備及系統(tǒng)的流程是否規(guī)范，要確保在部署系統(tǒng)時未使用相同的本地管理密碼。一些本地管理員密碼解決方案可隨機生成和加密本地管理員密碼，應(yīng)檢查用于管理這類解決方案的選項是否正確配置。

　　7 檢查系統(tǒng)備份策略

　　檢查組織使用什么流程來備份和保護重要文件，包括檢查備份流程，確保擁有多個備份方式，不同備份應(yīng)放在不同類型的存儲介質(zhì)上，并至少有一個備份放在異地。組織還應(yīng)考慮使用云存儲來充當(dāng)額外備份方式，進一步保護重要文件的安全。

　　8 檢查電子郵件系統(tǒng)安全

　　面對不斷加劇的郵件詐騙和釣魚攻擊，組織需要過濾和掃描電子郵件，以確保電子郵件在進入員工終端計算設(shè)備之前得到安全性檢查和確認(rèn)。電子郵件中所附的鏈接應(yīng)在用戶點擊時進行安全掃描，如果發(fā)現(xiàn)這些是惡意鏈接，應(yīng)及時阻斷訪問行為并從員工的收件箱中刪除。

　　9 檢查補丁策略

　　處理補丁環(huán)節(jié)時，安全人員應(yīng)檢查組織的網(wǎng)絡(luò)過去曾遇到的問題。如果邊緣設(shè)備沒有補丁方面的問題，可以簡化邊緣設(shè)備的更新，并賦予其優(yōu)先更新的權(quán)限。對于存在補丁問題的計算設(shè)備，要檢查發(fā)生問題的原因，以及打補丁行為可能帶來的副作用，并了解需要采取的緩解措施等，盡量減小打補丁帶來的副作用。

　　10 檢查終端設(shè)備的勒索軟件防護能力

　　由于勒索攻擊威脅的加劇，安全人員應(yīng)確保防病毒和端點檢測解決方案能夠識別勒索軟件攻擊的典型癥狀。當(dāng)文件備份突然被刪除，或者網(wǎng)絡(luò)中出現(xiàn)Cobalt Strike活動以及其他可疑活動時，終端安全解決方案應(yīng)該在攻擊者開始勒索活動之前，能夠提前發(fā)出警報。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<