減輕未來安全威脅 必做五件事

安全專家們總在謀求減輕風(fēng)險的方法。實現(xiàn)此目標的訣竅在于判定如何從我們的努力中獲得最大回報，并且制定行動計劃。為此，我們必須考慮未來威脅有什么變化，并且關(guān)注可能給攻擊者提供機會的兩個領(lǐng)域。

首先是供應(yīng)鏈和第三方漏洞。這些類型的攻擊在2017年曾經(jīng)非常肆虐，在2018年也必將成為網(wǎng)絡(luò)罪犯樂于使用的好方法。值得注意的是，因軟件供應(yīng)商遭受損害而導(dǎo)致的攻擊被檢測到的數(shù)量是相當多的。供應(yīng)商是有吸引力的最初目標，因為供應(yīng)商擁有客戶網(wǎng)絡(luò)的訪問特權(quán)，或者可以向客戶提供經(jīng)常的軟件更新。這意味著遭到破壞的軟件版本（包含惡意軟件）有可能被列入白名單，或者被客戶的安全團隊和系統(tǒng)忽視。

其次是蠕蟲化惡意軟件。2017年中一些大的網(wǎng)絡(luò)事件都涉及到可以在網(wǎng)絡(luò)之間傳播的能自我復(fù)制的惡意軟件問題，WannaCry和NotPetya就是這種例子。我們還看到Bad Rabbit勒索軟件可通過WMI和SMB的組合進行傳播。蠕蟲化的Trickbot銀行木馬在2017就還被報道過?？梢灶A(yù)計，經(jīng)修改的可以自我復(fù)制的惡意軟件在2018年將還將繼續(xù)存在，尤其是WannaCry和NotPetya正在導(dǎo)致類似的攻擊，從而引發(fā)網(wǎng)絡(luò)和服務(wù)的中斷。未來，這兩類威脅將可能繼續(xù)為非作歹，因而管理者必須重視如何解決這些風(fēng)險。

首先，要確保供應(yīng)商遵循某些標準。供應(yīng)商和第三方往往被看作是攻擊更簡單的入口，特別是在很多供應(yīng)商和第三方并沒有充分成熟的安全水平時尤其如此。企業(yè)應(yīng)定義一套供應(yīng)商的管理策略，對廠商進行分類，并且根據(jù)授與對敏感數(shù)據(jù)和關(guān)鍵系統(tǒng)的訪問來確定適當?shù)目刂?，還要定期審計和強化這些安全措施。

其次，實施特權(quán)管理措施。供應(yīng)商得到的訪問公司網(wǎng)絡(luò)訪問權(quán)常常要比內(nèi)部員工更為廣泛。其實，企業(yè)應(yīng)當實施特權(quán)管理措施。例如，責(zé)任分離可以確保任何個人都不能對一個系統(tǒng)執(zhí)行全部的特權(quán)操作，最少特權(quán)可以向員工提供完成工作的最低級的訪問水平。

第三，解決漏洞。打補丁是企業(yè)防御策略的一個重要部分。如果做不到，就會為敵手敞開大門。例如，微軟發(fā)布了一個防止利用SMB網(wǎng)絡(luò)服務(wù)被漏洞利用的補丁，以防止其在目標網(wǎng)絡(luò)中的橫向轉(zhuǎn)移。此外，禁用一些不必要的遺留特性可以減少工作量，而且進一步減輕風(fēng)險。

第四，限制通信。網(wǎng)絡(luò)的隔離、分段并在工作站之間限制通信可以使供應(yīng)鏈通信與其他的內(nèi)部通信分離開。這種方法還可以防止WannaCry、 NotPetya 等攻擊在網(wǎng)絡(luò)中擴散到達攻擊者企圖攻擊的目標。

第五，理解并備份數(shù)據(jù)。不妨根據(jù)企業(yè)的價值對數(shù)據(jù)進行分類，然后為不同的業(yè)務(wù)功能創(chuàng)建物理的或邏輯的網(wǎng)絡(luò)分段。對于關(guān)鍵數(shù)據(jù)和系統(tǒng)，可利用基于云的或物理備份，并驗證其完整性，還要確保備份遠離主要的公司網(wǎng)絡(luò)和被備份的機器。

毋庸置疑，網(wǎng)絡(luò)罪犯一直在變換和演進其策略、技術(shù)和過程。企業(yè)必須積極地監(jiān)視各種網(wǎng)絡(luò)，包括開放性的網(wǎng)絡(luò)和“暗網(wǎng)”，檢查是否涉及到本公司或行業(yè)，了解本公司是否成為了靶子。還要監(jiān)視供應(yīng)商的名稱，要查看網(wǎng)絡(luò)罪犯是否已經(jīng)關(guān)注主要的合伙人，并監(jiān)視這種活動是否會將企業(yè)置于風(fēng)險中。

不管前方之路如何，網(wǎng)絡(luò)罪犯仍將是一個問題。通過將重點放在幾個可管理的領(lǐng)域，我們就可以增加遵循解決方案的可能性。即使上述某一種活動也可以幫助企業(yè)更好地管理數(shù)字風(fēng)險。而通過持續(xù)的監(jiān)視，在發(fā)生異常時，企業(yè)很快就可以知道并且能夠更有效地應(yīng)對。