许多企业都在寻求一个能够以合理成本搭建网络安全体系的起点。实现这一目标的基石是实施网络安全框架,如美国国家技术研究所(NIST)的网络安全框架(CSF)。
NIST CSF基于五大战略支柱:
识别并推动组织对系统、资产、数据和能力的安全风险管理的认识。
通过制定和实施适当的保障措施予以保护,确保服务的提供。
检测安全事件的发生。
响应攻击,最大限度地减少对资产和所有利益相关方可能造成的伤害。
恢复和复原因事故而受损的能力或服务。
要从五大支柱中获得最大收益,组织应该从一些基础能力开始构建。互联网安全中心(CIS)建议企业可以从以下10个因素入手:资产管理、数据管理、安全配置、账户和访问控制管理、漏洞管理、日志管理、恶意软件防御、数据恢复、安全培训和事件响应。
建立网络防御的第一步是制定企业资产和软件资产的管理政策。许多资产管理工具都能对两者同时进行跟踪,常用工具从电子表格到全自动工具都有,企业可自行决定哪种工具最适合自己的需要。企业在采购过程中可能会遇到的常见术语包括服务台软件、IT资产管理(ITAM)工具、IT库存管理工具、网络清单和发现工具或网络IP扫描器。
重要的是要考虑:
企业网络中大约有多少资产?
是否有属于自带设备(BYOD)政策的资产?
是否有连接到网络的远程资产(如移动或便携式终端用户设备)?
这些资产属于哪种环境类型(如内部部署、云、混合)?
是否需要使用额外的工具实现流程的完全自动化?
该工具是否执行其他功能(如供应商/合同管理、建立安全配置、漏洞管理)?
工具是基于代理还是无代理?
该工具是否同时跟踪企业资产和软件资产?
企业必须执行有关数据管理流程的政策。下一步是编制数据清单,特别是敏感数据的清单。还必须努力加密数据以保护机密性。数据管理类别中常见的工具名称包括治理、风险与合规(GRC)工具、数据防丢失(DLP)工具或电子发现工具。
采购数据管理工具时需要考虑的问题包括:
企业处理什么类型的数据?
数据存储在哪里(如文件服务器、数据库)?
数据的敏感度如何?
数据存储在什么类型的环境中(如云、内部部署、混合环境)?
是否有处置数据的流程和/或工具?
设备级加密是在操作系统本身提供,还是需要一个单独的工具?
集中管理加密的工具是否已经就绪?
法律是否要求企业遵守某些标准、法律或法规?
首先,通过创建策略建立安全配置流程。下一步是确定如何安全配置设备。无论企业采用哪种机制、准则或建议,都应确保满足基本的安全原则,如移除/禁用默认账户、加密、日志记录和保护直接暴露在互联网上的设备。
除了实施安全配置外,还包括使用安全外壳(SSH)和超文本传输协议安全(HTTPS)等协议以安全的方式管理配置。确保企业网络安全的另一个重点领域是防火墙,包括为终端用户设备和服务器实施防火墙。
在选择合适的工具时要注意的事项包括:
企业希望采用哪种部署方式(如手动、全自动、半自动)?
哪些环境需要安全配置(如内部部署、云、混合)?
是否有供应商提供的安全配置,还是由第三方提供?
第三方的信誉是否良好?
企业是否有一套视为基线的安全配置?
企业如何计划跟踪对基线的配置变更?
如何验证和维护安全配置?
企业是否需要遵守有关安全配置的标准或法规?
工具能否自动、集中或远程部署配置?
从制定访问和身份管理政策开始。确保建立授予和撤销账户和权限的流程。账户和访问控制管理的常用工具包括身份和访问管理(IAM)工具、特权访问管理(PAM)工具、账户发现工具、身份管理工具、用户管理工具、密码管理器或多因素身份验证(MFA)。
在账户和访问控制管理中实施控制时涉及的问题包括:
企业是否制定了账户和访问管理政策?
企业目前管理多少账户?
这些账户分别是哪种类型(如服务、用户、管理员)?
哪些账户需要管理权限?
企业在什么类型的环境中拥有账户(如内部部署、云、混合)?
企业是否制定了入职和离职时管理账户和访问控制的流程?
建立漏洞管理流程的最佳方式是首先制定政策。此外,还应制定修复流程,确定修复频率和补丁的优先级。漏洞管理类别中的常用工具名称可能各不相同。企业在采购过程中可能会遇到的一些替代工具的名称,包括漏洞管理工具、端点/客户端管理工具或自动更新。
在实施补丁程序管理的保障措施时,需要牢记的一些注意事项包括:
企业目前有多少设备需要定期实施补丁?
在补丁管理生命周期内,是否有遗留系统可能受到影响?
是否应该/能否重建这些系统以接收补丁程序?
需要采取哪些补偿性控制措施降低被利用的风险?
补丁是手动部署还是自动部署?
是否会部署和集中管理补丁?
能否向远程设备推送补丁?
正在管理哪种类型的环境(如云、内部部署、混合环境)?
企业多长时间部署一次补丁?
在部署之前是否会测试补丁?
首先应实施日志管理策略,该策略为识别、收集和管理日志文件提供方向。策略到位后,可以选择日志管理工具。日志管理工具因使用情况和日志文件的所需保留期而异。常见的工具命名约定包括事件日志管理器、安全信息和事件管理 (SIEM) 以及安全信息管理 (SIM)。
在选择和实施日志管理保护措施时要记住的一些注意事项包括:
导入的日志大小
日志的存储时间长度
日志的保留期
所需的日志类型
监管、法律或合同义务
谁有权查看或修改日志?
如果日志服务器遭到入侵,企业是否需要灾难恢复计划?
恶意软件防御是信息安全的基本要求。恶意软件防御中使用了两种主要工具:反恶意软件和域名系统 (DNS) 服务。重要的是要考虑到自动化在执行所有恶意软件工具中起着至关重要的作用。自动化使反恶意软件能够更快地响应检测到的威胁,使企业有更多时间响应潜在事件并从中恢复。企业在采购过程中可能遇到的常见工具包括防病毒软件、端点检测和响应 (EDR)、端点保护平台 (EPP) 或端点安全服务 (ESS)。
选择和实施日志管理保护措施时要考虑的事项包括:
企业面临哪些类型的威胁?
企业是否有一个流程来指导人员在怀疑和/或检测到潜在的恶意活动时该怎么做?
该工具是否根据签名和/或行为检测威胁?
反恶意软件是否集中管理?
可以在远程设备上管理反恶意软件吗?
数据恢复是现代信息和网络安全领域的另一个基本但关键的组成部分。如果所有控制都失败,那么拥有(或没有)备份可能会成就或破坏企业。强制执行指定数据备份和恢复机制的数据恢复策略、过程和流程非常重要。数据备份和恢复工具的选择很大程度上取决于结构(例如,通过网络分段在本地、异地、云)、备份的保留时间、备份类型(完整备份与增量备份)以及备份的大小。企业在采购过程中可能遇到的常用工具包括备份软件、备份管理器、数据恢复产品或备份和恢复软件。
实施数据恢复保护措施时要问的几个问题包括:
每台设备应多久执行一次备份?
企业希望创建哪种类型的备份(例如,完整备份、增量备份)?
备份将存储在哪里(例如,异地、云、不同网段的本地)?
需要多少空间来存储备份?
备份将保留多长时间?
备份是否可以集中管理?
可以在远程设备上执行备份吗?
备份是自动执行还是手动执行?
在建立安全培训和意识计划时,制定政策非常重要。网上有如此多的免费资源(例如,视频、链接、文章、在线练习),许多企业不需要花费大量资金来教育员工网络安全。
在选择工具或资源集时,应确保它们涵盖以下领域:
社会工程学
身份验证最佳实践
数据处理最佳实践
如何识别和报告安全事件
如何发现潜在的漏洞
将企业资产连接到不安全网络的危险
有许多全面的资源,包括在线和面对面的培训资料,可用于安全意识计划。由于创建安全培训计划可能是劳动密集型的,因此企业可能会考虑将部分工作外包,具体取决于其人员的可用性和技能组合。
实施培训保障措施时要考虑的事项包括:
企业雇用了多少人?
第三方供应商和服务提供商是否也需要培训?
培训是现场进行还是虚拟进行,还是两者兼而有之?
是否有任何职位需要额外的技能培训?
企业是使用免费工具还是商业支持工具,在一个平台上提供各种培训材料和报告?
培训计划多久进行一次?
谁来主持培训?
培训工具中是否有可用的报告和仪表板?
事件响应是任何信息和网络安全计划的另一个关键方面。制定事件管理政策和事件响应计划至关重要,这些策略和事件响应计划应考虑到所有适用的法律、法规和法定要求。这还应包括指定人员管理事件处理、创建在发生事件时引用的联系人列表以及建立报告事件的流程等活动。
在制定事件响应计划时,应考虑以下几点:
内部人员或第三方是否负责管理事件?
在发生事件时应联系谁(例如,法律、人力资源 [HR]、IT、通信/公共关系、执法)?
人员如何报告事件(或疑似事件)?
上述信息如何传达给人员?
备份必须以多快的速度可用?