有不少公司在經歷過一次重大的網絡事故後,才會「的起心膽」對資安進行改善,而且行動必需快而準,在有限資源的情況下,如何在規模與預算之間取得平衡?就著公司常問的問題,以下嘗試找出答案。
從哪裡開始?
公司最常問的問題是:如何阻止加密勒索進入,一旦進入如何防止它造成傷害?防範攻擊和減輕傷害的技術接近有無限種,優先要就不同的網絡事故的風險與障礙進行評估,防止類似來自ATT&CK框架內的攻擊,應用適合自己的範本來減低特定風險(例子一、例子二),其中有幾個重要的步驟,首先是不要過度分散,建議優先專注幾個能產生最大效能的方案,當這些基本原則得以實施後再進行其他項目。清單中的能明顯降低最常見的攻擊風險,簡化事故應變和被入侵後減輕傷害,如果缺少當中的部份,便是優先處理的項目。
所有公司和私人的電腦、智能電話、伺服器和所有虛擬或實體的工作負載,都要有相關的資安技術,避免有規避IT的情況,因此首先的工作就是對全部IT資產進行「盤點」,確保保安方案能覆蓋整個公司基礎設施。
Endpoint Detection and Response
所有電腦,包括伺服器和虛擬機器,都需安裝啟動威脅封鎖功能的EDR agent,EDR是結合惡意程式防護、監察和反應的核心技術,確保從所有電腦取得telemetry,內部或外部的保安專家將會需要這些資料來進行快速分析潛在事故,Kaspersky則能自動封鎖大部份常見的網絡威脅,確保所有封鎖已知惡意活動的功能已經在所有電腦上啟動。
多重認證
根據各類的估計,大約60-80%的網絡攻擊始於帳號盜竊,所以僅用密碼來保護存取電腦在現代已不被認同,因為容易猜中、盜竊或暴力破解,用戶登入必需具備多重認證(MFA),最常見的有密碼和一次性密碼正是2FA的一種,較具成本效益的方案是利用驗證器應用程式,不過因應特定機構或員工的職位,也可以結合應用程式、USB token或生物識別等技術,總括而言,MFA建議應用在所有公司系統,但應該優先配備到從外部存取的服務,例如電郵和VPN。
受保護的備份
備份不但能從火災和硬件損壞中保護公司,也能對抗不少網絡攻擊,對加密勒索尤其有效,而差不多所有加密勒索攻擊都牽涉到針對性刪除備份的資料,因此備份的番略必需考慮所有情況,例如從容易存取的複製中快速復原,所以分別兩個備份似乎有其必要,防範加密勒索的備份存放於與網絡無物理連線的媒體上雖然不太方便,但相對可靠,又或者是不能更改的雲端儲存,資料只能新增但舊資料不能更改或刪除,特性是方便、可靠但相對昂貴。另外團隊也要就復原進行培訓,以確保能成功復原以及評估所需時間,一旦事故後需要復原也能提升團隊的反應速度。
應用程式和補丁管理
所有公司的電腦,不論是桌上、虛擬伺服器、手提電腦等,都要安裝容許管理員遙控的工具,令管理員能對電腦進行重要的診斷,包括檢查需要的應用程式、網絡狀態、VPN健康、EDR更新等等,安裝和更新應用程式,還有測試安全漏洞等等。以上功能對日常工作與事故反應都十分重要,不但確保日常的「網絡衛生」,例如安裝重要的保安更新,事故時則可能有需要執行特別的工具或安裝證書,以上權限應該只有系統管理員才能擁有。
獨一無二的密碼
特權存存管理和身份保安是一個廣範的題目,良好的身份保安同時增加公司層面的防護和簡化員工的生活,但完全執行則是一個長時間的項目,所以應該首先集中在最重要的保份,確保公司內每台電腦都受獨一無二的管理員密碼保護,此舉有效防止攻擊者快速在公司網絡內移動,以單一密碼感染多台電腦。
把漏洞服務減至最少
定期從互聯網掃描公司IP地址以確保原本只應該出現在本地網絡的服務沒有對外開放,如果一有發現,便應採取行動封鎖外來的存取,如果因需要而從互聯網存取,則必需配備常規的MFA以及定基保安更新,以下是黑客特別喜歡的目標:網絡管理控制台、RDP、Telnet/SSH、SMB、SNMP和FTP,不妨首先假設所有服務都能從互聯網中找到,定期對他們進行漏洞掃瞄、弱的密碼組合或其他缺點。
資料來源:Kaspersky Blog