在當今數字時代中對于企業來說，抵御網絡威脅、最大限度地降低風險來確保組織的持續生存能力，是尤為重要的。盡管風險因素不斷發展并變得越發復雜，但網絡安全的一個真理值得重復強調：基本的網絡安全衛生，是可以防止99%的攻擊。

? ?在當今數字時代，企業越來越依賴于技術和在線系統來開展業務。因此，滿足網絡衛生的最低標準對于防范網絡威脅、最大限度地降低風險、并確保業務持續可行性至關重要。 基本安全衛生仍然可以有效預防99%的攻擊¹。每個組織應采用以下最低標準：啟用多因素身份驗證（MFA）、應用“零信任”原則、使用擴展檢測與響應和使用反惡意軟件、時時保持系統更新，以及保護數據。 ?

每個組織應采用圖示最低標準

1.

啟用多因素身份驗證（MFA）

想要減少對您賬戶的攻擊？打開MFA。顧名思義，多因素身份驗證需要兩個或多個驗證因素。攻擊者破壞多個身份驗證因素的挑戰性會非常高，因為僅僅知道（或破解）密碼并不足以訪問系統。啟用MFA后，可以防止99.9%的賬戶攻擊²。

讓MFA變得更加容易

多因素身份驗證——雖然聽起來和名字一樣，需要額外的步驟操作，但你應該嘗試為員工選擇具有最小阻力的MFA選項。例如在設備中使用生物識別技術，或FIDO2兼容因素，如Feitan或Yubico安全密鑰。避免使MFA變得繁重。

當額外的身份驗證可以幫助保護敏感數據和關鍵系統，而非將其應用于每個單獨的交互程序時，請選擇MFA。

對于最終用戶來說，MFA并不一定具有挑戰性。使用條件訪問策略，允許基于風險檢測觸發雙重驗證，以及直通身份驗證和單點登錄(SSO)。當終端用戶的設備具有最新的軟件更新版本時，他們就不必多次登錄以訪問公司網絡上的非關鍵文件、日歷。用戶也將不需要進行90天的密碼重置，這將大大改善他們的體驗。

常見網絡釣魚攻擊

在網絡釣魚攻擊中，犯罪分子使用社會工程策略，誘騙用戶提供訪問憑據或泄露敏感信息。常見的網絡釣魚攻擊包括以下內容³ 。

常見的網絡釣魚攻擊

2.

應用“零信任”原則

零信任是任何彈性計劃的基石，它限制了對組織的影響。零信任模型是一種主動的、集成的安全方法，它跨越數字資產的所有層級，明確且持續地驗證每筆交易，維護使用最小權限訪問，依賴于情報、提前探測、和對威脅實時反應。

當你采用零信任方法時，就有可能：

? 支持遠程和混合工作

? 幫助防止或減少數據泄露造成的業務損失

? 識別并幫助保護敏感的業務數據和身份

? 在領導團隊、員工、合作伙伴、利益相關者和客戶中，建立對安全態勢和計劃的信心

零信任原則是：

假設違約

假設攻擊者有能力且可以成功攻擊任何對象（身份、網絡、設備、應用程序、基礎設施等），并做出對應的計劃。這意味著安全人員需要不斷監控環境，以預防潛在攻擊。

顯式驗證

在允許訪問資源之前，確保用戶和設備處于良好狀態。驗證所有的信任及安全決策過程中是否已使用相關可用的信息和遙測技術，保護資產免受攻擊者的控制。

使用最小權限訪問

通過即時訪問(JIT/JEA)和基于風險的策略（如自適應訪問控制）來限制對潛在受損資產的訪問。你應該只允許訪問資源所需的特權，而不是其他特權。

零信任安全層

零信任安全層

安保措施過多也會引發問題

過多的安全性（即對日常用戶來說過于嚴格的安全性）可能導致與最初沒有足夠安全性相同的結果，引發更多的風險。

過于嚴格的安全程序會讓人們難以完成自己的工作，更糟糕的是，它可能會促使人們尋找“影子IT”解決方案來完全繞過安全性屏障：通過使用自己的設備、電子郵件和硬盤工作，使用安全性較低、對業務帶來更高風險的系統⁴。

3.使用擴展

檢測和響應及反惡意軟件服務

使用軟件來檢測和自動阻止攻擊，并提供安全操作的相關洞察。實時監測威脅檢測系統生成的洞察對于幫助我們及時響應威脅至關重要。

安全自動化和編排最佳實踐

讓盡可能多的工作自動化

在將問題發送給安全運營分析師之前，選擇并部署一系列的傳感器，讓他們可以自動監測并相互關聯和相互傳輸其發現。

自動收集警報

安全運營分析師應該擁有對警報進行分類和響應所需的一切，而無需執行任何額外的信息收集，例如查詢可能脫機（也可能不脫機）的系統，或者從資產管理系統或網絡設備等其他來源收集信息。

自動設置警報優先級

分析人員應該利用實時分析來確定事件的優先級，評估應基于威脅情報、訂閱消息、資產信息和攻擊指標。分析人員和事件響應人員應該關注最嚴重的警報。

自動化任務和流程

首先針對常見、重復和耗時的管理流程，我們首先應該標準化響應流程。一旦響應標準化，就可以自動執行安全運營分析師的工作流，在可能的情況下避免任何人工干預，以便他們能夠專注于更關鍵的任務。

持續改進

監控關鍵指標并調整傳感器和工作流以驅動增量更改

幫助預防、檢測和響應威脅

通過利用綜合的預防、檢測、和響應功能，以及集成的擴展檢測和響應(XDR)和安全信息和事件管理(SIEM)功能，來抵御工作中的各種威脅。

遠程訪問

攻擊者經常以遠程訪問解決方案(RDP、VDI、VPN等)為目標，進入環境并運行正在進行的操作，破壞內部資源。為了防止攻擊者進入，你需要:

?維護軟件和設備更新

?強制零信任用戶和設備驗證

?為第三方VPN配置安全方案

?發布本地web應用程序

電子郵件和協作軟件

攻擊者進入環境的另一種常見策略是通過電子郵件或文件共享工具傳輸惡意內容，然后騙取用戶信任并運行它。為了防止攻擊者進入，你需要：

?實施高級電子郵件安全

?啟用攻擊面縮減規則，阻斷常見攻擊技術

?掃描附件是否存在基于宏的威脅

端點

暴露于Internet的端點是攻擊者們最常使用的入口向量，因為攻擊者能夠通過它們訪問組織的資產。為了防止攻擊者進入，你需要:

?使用針對特定軟件行為的攻擊面減少規則來阻止已知的威脅，例如啟動可執行文件和試圖下載或運行文件的腳本，運行模糊或其他可疑腳本，或執行應用程序在正常日常工作中通常不會啟動的行為

?維護你的軟件，使其得到更新和支持

?隔離、禁用或淘汰不安全的系統和協議

?使用基于主機的防火墻和網絡防御阻止意外流量

檢測和響應

保持高度警覺

使用集成XDR和SIEM提供的高質量警報，并最大限度地減少響應過程中的摩擦和手動步驟。

清理舊系統

缺乏安全控制的舊系統，如防病毒和端點檢測和響應(EDR)解決方案，可能允許攻擊者從單個系統執行整個勒索軟件和泄露攻擊鏈。如果不可能為遺留系統配置安全工具，則必須在物理上（通過防火墻）或邏輯上（通過刪除與其他系統的憑據重疊）隔離系統。

不要忽視惡意軟件

經典的自動勒索軟件可能缺乏動手鍵盤攻擊的復雜性，但這并不意味著它的危險性降低。

注意攻擊者禁用安全性

保持監測你的環境，以防攻擊者禁用安全性（通常是攻擊鏈的一部分)，如清除事件日志，特別是安全事件日志和PowerShell操作日志，以及禁用與某些組關聯的安全工具和控件⁵。

4.

時時保持系統更新

系統未打補丁或者過時，是許多組織被攻擊的主要原因。確保所有系統保持最新狀態，包括固件、操作系統和應用程序。

最佳實踐

?通過應用補丁、更改默認密碼和默認SSH端口，來確保設備的穩健性；

?通過消除不必要的互聯網連接和開放端口，通過阻止端口限制遠程訪問，拒絕遠程訪問和使用VPN服務來減少攻擊面；

?使用物聯網和操作技術（IoT/OT）感知的網絡檢測和響應（NDR）解決方案，以及安全信息和事件管理（SIEM）/安全編排和響應（SOAR）解決方案，來監控設備的異常或未經授權的行為，例如與不熟悉的主機通信；

?對網絡進行分段，以限制攻擊者在初始入侵后橫向移動和危及資產的能力。物聯網設備和OT網絡應通過防火墻與企業IT網絡隔離；

?確保ICS協議不直接暴露在互聯網上；

?深入了解網絡上的IoT/OT設備，并根據企業的風險對其進行優先排序；

?使用固件掃描工具了解潛在安全漏洞，并與供應商合作確定如何降低高風險設備的風險；

?通過要求供應商采用安全開發生命周期的最佳實踐，為IoT/OT設備安全性帶來積極影響；

?避免通過不安全的渠道或向不必要的人員傳輸包含系統定義的文件；

?當傳輸此類文件不可避免時，請確保監測網絡上的活動及確保資產的安全；

?通過監測EDR解決方案保護工程站；

?主動對OT網絡進行事件響應；

?使用Microsoft Defender for IoT等解決方案部署持續監控⁶。

5.

數據保護

了解重要數據的位置、是否安裝了正確的系統，對于進行適當的保護至關重要。數據安全挑戰包括：

?減少和管理用戶故障帶來的風險

?手動進行用戶分類，在規模上是不切實際的

?數據必須在在網絡之外被保護

?合規性和安全性需要一個完整的策略

?滿足日益嚴格的合規性需求

數據安全縱深防御的五大支柱

現如今，混合工作空間需要從世界各地的多個設備、應用程序和服務中訪問數據。由于存在眾多平臺和接入點，我們必須有強大的保護措施來防止數據盜竊和數據泄漏。對于當下的環境，縱深防御方法提供了加強數據安全的最佳保護。該策略有五個組成部分，都可以按照符合組織需求、遵從法規要求的任何順序來進行制定。

1. 確定數據環境

在保護敏感數據之前，你需要了解數據的位置以及訪問方式。這需要完全了解整個數據資產，無論是本地云、混合云還是多云(Multicloud)。

2. 保護敏感數據

除了創建整體數據地圖外，你還需要保護你的靜態數據和傳輸數據。這就需要對數據進行準確標記和分類，以便深入了解如何訪問、存儲和共享數據。準確地跟蹤數據將有助于防止它成為泄漏和破壞的犧牲品。

3. 管理風險

即使對數據進行了適當的映射和標記，也需要考慮可能導致潛在數據安全事件（包括內部威脅）的數據和適用的用戶場景。將合適的人員、流程、培訓和工具結合在一起，是解決內部風險的最佳方法。

4. 防止數據丟失

不要忘記未經授權使用數據，因為這也是一種損失。一個有效的數據丟失保護解決方案需要在數據保護和提高生產力之間進行平衡。確保適當的訪問控制和設置策略，以防止不正確地保存、存儲或打印敏感數據等操作。

5. 管理數據生命周期

隨著數據治理也轉變為一種業務團隊，業務團隊成為了自己數據的管理者，組織必須在整個企業中創建統一的方法。這種主動的生命周期管理可以帶來更好的數據安全性，并有助確保數據以負責任的方式為用戶所用，從而推動業務價值⁷。

結論

盡管威脅因素不斷發展并變得越來越復雜，但網絡安全的一個真理值得重復強調：基本的網絡安全衛生，即“啟用MFA，應用零信任原則，保持最新，使用現代反惡意軟件，保護數據”，可以防止99%的攻擊。

我們必須滿足一個網絡安全衛生的最低標準，來助力實現抵御網絡威脅，最大限度地降低風險，并確保組織的持續生存能力。

參考資料

[1] 《2023微軟數字防御報告》

[2] 《一個簡單的行動，可以防止99.9%的攻擊你的賬戶》

[3]想了解更多有關密碼和身份相關主題的信息，請查看以下微軟資源：《首席信息安全官（CISO）系列：使用分階段的路線圖保護你的特權管理賬戶》 、《不斷變化的策略導致商業郵

件泄露事件激增——網絡信號第4期：信心游戲》

[4] 想了解更多有關零信任主題的信息，請查看以下微軟資源：《為什么選擇零信任 》、《為

企業采用零信任安全策略的5個理由?》、《零信任安全狀況評估》

[5]想了解更多有關使用現代反惡意軟件的信息，請查看以下微軟資源：《安全操作自我評估工

[6]想了解更多有關保持系統更新信息，請查看以下微軟資源：《7種方法加固你的環境防止被

入侵》、《通過理解網絡安全風險變得有彈性：第4部分——應對當前的威脅》

[7]想了解更多有關數據保護的信息，請查看以下微軟資源：《建立信息保護程序的3種策略》、《啟動有效數據治理計劃的3種策略》