真正保護網(wǎng)絡基礎設施是企業(yè)為保護自身免受威脅而做出的最關鍵選擇之一。防火墻規(guī)則、補丁管理和事件響應程序等技術(shù)和工具有助于保護敏感數(shù)據(jù)和應用程序。此過程因業(yè)務而異，但有一個 13 步驟的過程，從評估網(wǎng)絡到隨著時間的推移提高安全性，適用于許多組織。

單擊此圖像可以下載詳細的網(wǎng)絡保護清單，供您的安全和網(wǎng)絡團隊使用。

1.評估網(wǎng)絡

在實施任何網(wǎng)絡安全實踐或程序之前，您首先需要了解網(wǎng)絡的當前狀態(tài)，包括現(xiàn)有的訪問控制、防火墻及其規(guī)則的狀態(tài)以及當前的漏洞管理程序。

審計所有訪問控制

完成對當前訪問控制的審核，包括用戶名、密碼、密碼以及您當前設置的任何多因素身份驗證。要審核所有訪問控制，請檢查每個需要登錄憑據(jù)或權(quán)限的應用程序或系統(tǒng)并記錄它們，包括它們是否受密碼管理器保護。還要查看您當前的密碼要求；它們是否強迫員工設置難以猜測的密碼？

檢查任何現(xiàn)有的防火墻和防火墻規(guī)則

盤點所有現(xiàn)有網(wǎng)絡防火墻和當前規(guī)則。導航到防火墻的管理面板，找到規(guī)則列表，并查找任何無用或不一致的規(guī)則。也許一條規(guī)則與另一條規(guī)則相矛盾，或者一條舊規(guī)則違反了企業(yè)的新安全政策。這也是執(zhí)行初始防火墻審核的好時機；它將揭示防火墻無法正常工作的方式，或者規(guī)則是否不再符合企業(yè)政策。

記錄漏洞管理實踐

在徹底改造網(wǎng)絡安全基礎設施之前，請記錄所有現(xiàn)有的漏洞管理工具或程序。有哪些不起作用，哪些可以更改？此外，確定安全團隊是否可以輕松找到漏洞并緩解漏洞，或者到目前為止這對他們來說是否是一個具有挑戰(zhàn)性的過程。甚至可以向他們發(fā)送一份調(diào)查問卷，其中包含一些有關漏洞管理和緩解過程的問題。

2. 識別安全漏洞和弱點

識別漏洞與評估網(wǎng)絡密切相關，因此可能最終會同時執(zhí)行這些步驟。要查找企業(yè)安全漏洞，可以實施漏洞掃描和滲透測試等策略。

執(zhí)行漏洞掃描

測試網(wǎng)絡架構(gòu)，以便了解問題所在。流量測試或漏洞掃描可在黑客利用之前發(fā)現(xiàn)錯誤配置、未應用或錯誤應用的加密、弱密碼和其他常見問題。還可以使用漏洞掃描來檢測松散的加密密鑰管理。雖然可以手動掃描漏洞，但建議使用效率更高的軟件。

滲透測試

漏洞掃描可能會檢測到常見的弱點，但主動滲透測試可以確定漏洞是否構(gòu)成真正的風險或可以通過其他控制措施緩解。滲透測試還可以確定現(xiàn)有控制措施是否足以阻止攻擊者。可以使用工具進行滲透測試，但如果聘請外部專家，可能會得到更準確的結(jié)果。與安全團隊負責人討論聘請滲透測試員的可能性。

3. 實施訪問控制

成功的安全措施包括限制對網(wǎng)絡資源（如硬件和管理軟件）的訪問。根據(jù)員工在特定時間需要訪問哪些資源，對每種資源實施適當?shù)脑L問控制。這些措施包括難以猜測的密碼、Active Directory集成、多因素身份驗證、最小特權(quán)訪問策略以及對云平臺的訪問。 

創(chuàng)建強大的憑證

增加密碼強度要求以增加復雜性，或強制所有員工登錄憑據(jù)更頻繁地輪換密碼。密碼管理器可幫助用戶滿足更嚴格的要求，并可實現(xiàn)集中控制。企業(yè)還可以采用單點登錄(SSO) 技術(shù)來簡化對云資源的訪問。

如果需要，使用 Active Directory

規(guī)模最小的組織可能只擔心設備訪問，也就是登錄憑據(jù) — 用戶名和密碼。但隨著組織的發(fā)展，使用Active Directory (AD) 或等效的輕量級目錄訪問協(xié)議(LDAP) 工具進行正式化和集中化控制可節(jié)省業(yè)務時間并加快對變更請求的響應速度。實施 AD 或 LDAP 需要時間，但對于大型組織來說很有價值。

實施多因素身份驗證

隨著公司規(guī)模和聲譽的提高，憑證被盜的潛在損失也會隨之增加，因此成長中的組織面臨的泄露風險也隨之增加。為了降低這種風險，許多組織采用多因素身份驗證來提供比 2FA 更高的安全性，尤其是當應用程序或令牌取代易受攻擊的短信文本時。生物識別和無密碼解決方案可能更昂貴，但難以偽造。

使用最小特權(quán)訪問原則

實施最低權(quán)限訪問策略意味著網(wǎng)絡和安全團隊僅在員工絕對需要系統(tǒng)來完成工作時才允許他們訪問系統(tǒng)。過去，員工只有在“萬一”需要時才可以訪問。但這會進一步為威脅行為者和潛在的內(nèi)部威脅打開大門。確保只有需要訪問應用程序的員工才能訪問，并且他們根據(jù)自己的角色獲得管理或只讀訪問權(quán)限。

管理對云資源的訪問

現(xiàn)在，即使是規(guī)模較小的組織也使用云資源，但大多數(shù)內(nèi)部網(wǎng)絡控制不會擴展到網(wǎng)絡外部托管的資源，例如Office 365、Google Docs或隔離的分支機構(gòu)網(wǎng)絡。云訪問安全代理(CASB) 和安全瀏覽器應用程序可以提供整合的解決方案來保護云中的用戶。

確保云賬戶上的每個用戶都具有適當?shù)臋?quán)限，無論他們是管理員還是只能查看文檔。還要檢查所有云實例是否都暴露在互聯(lián)網(wǎng)上。

4. 設置防火墻

防火墻實施過程將根據(jù)你的網(wǎng)絡是否已安裝防火墻而有所不同，但你仍然可以將其用作尚未完成的項目的清單。按照此一般流程安裝防火墻、創(chuàng)建規(guī)則和區(qū)域，并隨時間測試和管理防火墻。

選擇正確的防火墻類型

如果企業(yè)尚未安裝防火墻，則需要選擇一款適合您網(wǎng)絡的防火墻。小型企業(yè)可能需要相對較小的設備，而大型企業(yè)可能需要來自領先網(wǎng)絡供應商之一的下一代防火墻。如果企業(yè)目前沒有資源或人員來支持內(nèi)部防火墻，也可以考慮將防火墻作為一項服務。

保護防火墻

為了使防火墻正常工作，需要創(chuàng)建特定規(guī)則來指定防火墻接受和阻止哪些流量。這將根據(jù)您的業(yè)務需求而有所不同；可以根據(jù)防火墻后面的應用程序和數(shù)據(jù)自定義規(guī)則列表，使其限制更多或更少。為入站和出站流量實施規(guī)則，以限制進入網(wǎng)絡的流量和離開網(wǎng)絡的數(shù)據(jù)。

創(chuàng)建防火墻區(qū)域和 IP 地址

現(xiàn)在將防火墻劃分為需要分離的區(qū)域，并為每個區(qū)域分配必要的接口。然后為防火墻資源和服務器指定適當?shù)?IP 地址（如果它們尚未指定）。

制定訪問控制列表

訪問控制列表( ACL) 決定哪些資源或用戶可以訪問網(wǎng)絡。管理員可以為整個網(wǎng)絡或某些子網(wǎng)指定一個列表。結(jié)合防火墻規(guī)則創(chuàng)建訪問控制列表，以便列表中的任何內(nèi)容都不會相互矛盾；在制定接受或丟棄數(shù)據(jù)包的規(guī)則時，最好將它們并列在一起。

測試配置

確保所有網(wǎng)絡配置都正常工作。如果阻止來自某個網(wǎng)站的流量，請確保防火墻不允許該流量通過。還要測試規(guī)則，尤其是黑名單和白名單；可以通過連接到網(wǎng)絡并嘗試加載被阻止的網(wǎng)站來做到這一點。如果它仍然加載，則您的黑名單不起作用。

隨著時間的推移管理防火墻

防火墻需要定期檢查和重新配置。您還需要團隊成員負責處理定期的防火墻維護和保養(yǎng)，包括更新規(guī)則以適應不斷變化的業(yè)務政策。為團隊成員分配特定的防火墻管理任務，并創(chuàng)建審核防火墻規(guī)則的時間表。使用清晰、直接的文檔，確保團隊中的每個人都知道如何維護防火墻。

5.加密數(shù)據(jù)傳輸

加密可以直接保護整個 IT 基礎架構(gòu)中的資產(chǎn)。可以使用全盤加密保護端點，使用設置保護數(shù)據(jù)庫，使用文件或文件夾加密保護關鍵文件。

加密端點

加密終端的整個硬盤或 SSD 可保護整個設備。此外，Windows 等操作系統(tǒng)提供更改設置的選項，并要求與特定資產(chǎn)或整個網(wǎng)絡建立加密連接。可以更改其他設置，以防止傳輸或存儲純文本密碼，并確保存儲加鹽密碼哈希值。

加密數(shù)據(jù)庫

您可以按整個應用程序、按列或通過數(shù)據(jù)庫引擎加密數(shù)據(jù)庫。不同的加密實現(xiàn)將影響在數(shù)據(jù)庫中查詢數(shù)據(jù)的速度，因此在加密任何內(nèi)容之前請考慮到這一點。

加密文件或文件夾

可以在單個文件級別或文件夾級別加密數(shù)據(jù)。文件級加密通常需要更多時間，并且允許加密單個文件并選擇不加密其他文件（如果需要）。文件夾級加密一次保護整個文件夾的數(shù)據(jù)，這在需要一次保護整個文件夾的靜態(tài)數(shù)據(jù)時非常有用。

6. 邏輯地劃分網(wǎng)絡

不斷發(fā)展的組織需要允許不同類型的訪問，但不應允許所有人訪問網(wǎng)絡中的所有內(nèi)容。網(wǎng)絡分段可以為訪客創(chuàng)建網(wǎng)絡，為不安全的設備創(chuàng)建隔離網(wǎng)絡，甚至可以為易受攻擊的 IoT、OT 和已知過時的技術(shù)創(chuàng)建單獨的網(wǎng)絡。使用虛擬 LAN 創(chuàng)建子網(wǎng)，并實施零信任策略，以便用戶不會獲得不必要的訪問權(quán)限。

設置虛擬局域網(wǎng)

虛擬局域網(wǎng)(VLAN) 在單個硬件上對網(wǎng)絡進行分區(qū)，并允許團隊將網(wǎng)絡劃分為較小的子網(wǎng)。它們很有用，因為它們使網(wǎng)絡管理流程更加簡單，并且由于并非所有流量都流向同一個地方，因此可以提供額外的安全性。可以根據(jù)自己的安全需求，將不同類型的流量指定到不同的子網(wǎng)。

創(chuàng)建子網(wǎng)

網(wǎng)絡分段應根據(jù)業(yè)務路由流量的方式進行。例如，如果兩個子網(wǎng)或子網(wǎng)在較大的網(wǎng)絡上相鄰，則如果一個子網(wǎng)正在處理外部流量，而其相鄰的子網(wǎng)上有敏感數(shù)據(jù)，則應在它們之間設置防火墻。它還有助于將類似的技術(shù)資源分組到同一個子網(wǎng)上，以實現(xiàn)更合理的路由。

考慮零信任

建議為整個網(wǎng)絡基礎設施實施零信任框架。零信任與網(wǎng)絡分段相結(jié)合，要求用戶證明他們有權(quán)訪問網(wǎng)絡上的每個單獨資源。零信任框架使用“永不信任，始終驗證”的概念。網(wǎng)絡上的用戶必須驗證他們使用應用程序或登錄某個系統(tǒng)的權(quán)利，而不是僅僅因為他們通過了防火墻就可以訪問所有內(nèi)容。

7.設置入侵檢測和預防系統(tǒng)

入侵檢測和防御系統(tǒng) (IDPS) 是網(wǎng)絡安全的核心功能之一。需要了解哪些信息進入網(wǎng)絡、哪些信息離開網(wǎng)絡，以及組成網(wǎng)絡的硬件和軟件中是否存在任何明顯的漏洞。入侵檢測和入侵防御可以獨立運行，但它們通常會組合在安全套件中。

配置入侵檢測系統(tǒng)

入侵檢測系統(tǒng) (IDS) 主要負責識別漏洞和攻擊者。當系統(tǒng)中檢測到惡意軟件、陌生用戶登錄軟件或互聯(lián)網(wǎng)流量意外壓垮服務器時，它們會向網(wǎng)絡管理員發(fā)出警報。它們對于檢測惡意行為很有用，但它們通常無法自行解決安全問題。 

配置入侵防御系統(tǒng)

入侵防御系統(tǒng)不僅能監(jiān)測漏洞和攻擊，還能修復漏洞和攻擊。這包括標準補救措施，例如阻止流量或根除惡意軟件。入侵檢測和防御結(jié)合在一起時往往最有效，因此您可以在一個平臺上識別問題并修復它們。

8. 創(chuàng)建資產(chǎn)發(fā)現(xiàn)政策

未經(jīng)授權(quán)的設備可以通過攻擊（例如將未經(jīng)授權(quán)的計算機連接到網(wǎng)絡或部署數(shù)據(jù)包嗅探器來攔截網(wǎng)絡流量）攔截或重定向網(wǎng)絡流量。同樣，偽造的域名系統(tǒng)(DNS) 地址可以將用戶從合法連接重定向到危險網(wǎng)站。為了保護網(wǎng)絡，請根據(jù)需要阻止或隔離資產(chǎn)，始終掃描資產(chǎn)，并禁用不需要的任何網(wǎng)絡功能。

阻止或隔離設備

網(wǎng)絡訪問控制 (NAC) 解決方案可測試端點上過時或易受攻擊的軟件，并將設備重定向至隔離區(qū)，直至修復完成。未經(jīng)授權(quán)的設備可能會被阻止或隔離。可以通過向防火墻和服務器添加MAC地址過濾或白名單來實現(xiàn)一些NAC功能，但維護白名單可能非常耗時。

持續(xù)掃描資產(chǎn)

IT 資產(chǎn)管理(ITAM) 工具可以掃描連接到網(wǎng)絡的設備并發(fā)送警報或阻止未注冊的設備。組織需要驗證他們試圖檢測的資產(chǎn)類型。某些應用程序、云基礎設施、網(wǎng)絡設備或物聯(lián)網(wǎng) (IoT) 設備可能需要更復雜的 ITAM 或其他工具來檢測它們。

禁用不需要的功能

防火墻中任何未使用的訪問端口、不需要的遠程訪問（存儲、打印機、路由器等）和類似功能通常都不受監(jiān)控。黑客會試圖找到并利用這些機會。如果不需要，最好直接禁用它們。因此，組織還應在設置完成后禁用通用即插即用 (UPnP) 功能，因為黑客已經(jīng)找到了使用自動化功能加載惡意軟件的方法。

9. 制定補丁管理程序

保護網(wǎng)絡硬件和軟件需要安全團隊不斷更新其產(chǎn)品至最新版本。此過程包括盡快打補丁、創(chuàng)建補丁分配以及密切關注供應商的安全公告。

立即修補

企業(yè)修補硬件和軟件的速度越快，威脅者利用其中漏洞的時間就越少。如果企業(yè)發(fā)現(xiàn)修補資源的時間有限，請調(diào)整流程和任務，使修補成為更高的優(yōu)先級。如果實施具有內(nèi)置補丁管理功能的安全平臺您將收到有關補丁的提醒，這將幫助團隊更快地修復漏洞。

分配補丁管理角色

為所有網(wǎng)絡資源制定標準版本更新的修補計劃。修補計劃包括為團隊成員分配角色，以便每個人都知道誰負責更新每個設備和軟件版本。我建議創(chuàng)建一份簡單的文檔，明確列出誰負責修補每個硬件和軟件，以及應該更新的日期和時間。

監(jiān)控漏洞新聞和發(fā)布

強大的補丁管理策略的一部分是通過監(jiān)控供應商的漏洞信息和全球行業(yè)新聞來主動解決安全問題。每周都會出現(xiàn)新的漏洞，它們通常出現(xiàn)在網(wǎng)絡設備和操作系統(tǒng)中。越快意識到問題，就能越早修補它們并避免零日漏洞或類似攻擊。

10. 監(jiān)控和記錄網(wǎng)絡

可能不會立即將網(wǎng)絡流量識別為惡意流量，但使用安全信息和事件管理(SIEM)、安全運營中心(SOC)、托管檢測和響應(MDR) 或類似團隊對其進行監(jiān)控可能會檢測到異常行為。這些團隊還可以響應警報并補救逃避自動響應的攻擊。如果您想進一步分析網(wǎng)絡上的異常行為，沙盒也是一個選擇。

指定監(jiān)測資源和團隊

網(wǎng)絡安全行業(yè)有大量監(jiān)控網(wǎng)絡的產(chǎn)品和服務，如果您的業(yè)務領導者對選擇哪種產(chǎn)品和服務感到不知所措，請仔細查看每種產(chǎn)品和服務的功能：

SIEM：專注于聚合企業(yè)數(shù)據(jù)和日志，通常需要大量的監(jiān)控和管理。

SOC：通過公司內(nèi)部或外部的分析師和安全人員團隊管理日常安全運營。 

端點檢測和響應 (EDR)：專門查找并減輕端點設備上的安全威脅。

MDR：提供托管檢測和響應服務，以便您的企業(yè)可以受益于外部分析師的技術(shù)和見解。

響應警報

響應安全警報是工作，也是運營中心或托管服務提供商的工作。無論誰來做這件事，都需要明確指定哪個團隊成員負責警報分類過程的哪個部分。這可以提高響應能力，并增加您的安全團隊更有效地處理威脅的機會。

使用沙盒

如果在網(wǎng)絡上發(fā)現(xiàn)惡意軟件并想了解更多有關其模式的信息，請考慮使用沙盒產(chǎn)品。這些產(chǎn)品可幫助團隊在安全、受控的環(huán)境中觀察惡意程序的工作方式。它們通常包含在更大的安全套件中，例如托管檢測和響應解決方案，但也可以單獨購買它們。

11.制定事件響應計劃

無論安全團隊規(guī)模多小，企業(yè)始終需要事件響應計劃來了解如何處理安全事件。事件響應計劃應按順序清晰列出團隊應采取的每個步驟以減輕威脅。事件響應計劃的一些最常見特征包括定制、靈活的結(jié)構(gòu)和適當?shù)木瘓蠓椒ā?/p>

為多種情況創(chuàng)建可定制的計劃

可能需要不止一次迭代事件響應計劃，而不僅僅是適用于每種情況的單個步驟列表。創(chuàng)建一個通用模板，然后制定幾個不同的、更具體的計劃，通常是為不同類型的安全事件定制事件響應計劃的好策略。響應將根據(jù)漏洞或攻擊而有所不同，每個漏洞或攻擊的具體計劃也各不相同。

當流程需要改變時要靈活

雖然事件響應計劃確實需要有序的步驟，但它們也需要留出一些回旋余地，以防某個流程在最后一刻需要更改。這可能看起來像是列出幾個額外的團隊成員來接替某個步驟的負責人休假或生病，或者為安全威脅提供一些不同的緩解選項，以防某個選項不起作用。

制定合理的警報程序

安全團隊必須篩選大量信息，但并非所有警報都是準確的。制定程序來分類警報，并將誤報與真正需要調(diào)查的問題區(qū)分開來。自動化在這里很有用——如果事件響應團隊擁有準確的軟件來告訴他們要優(yōu)先處理哪些警報，將節(jié)省一些工作。

12. 對員工進行網(wǎng)絡安全實踐培訓

用戶仍然是最常見的安全漏洞來源之一，因為每個人都會犯錯，而且大多數(shù)員工都不是安全專家。員工培訓和滲透測試是企業(yè)用來讓員工及時了解威脅的兩種主要策略，但團隊內(nèi)部的日常對話在保護公司方面也發(fā)揮著關鍵作用。

對團隊進行安全基礎知識培訓

面向企業(yè)和中小型企業(yè)的網(wǎng)絡安全培訓課程提供了基本指導，使員工能夠為整個組織提供更好的安全實踐。它們重點介紹了網(wǎng)絡釣魚攻擊、惡意軟件、不安全的密碼實踐以及受感染的硬件（如 USB 驅(qū)動器）等問題。它們還降低了網(wǎng)絡攻擊讓員工措手不及的可能性。

執(zhí)行滲透測試

在滲透測試場景中，內(nèi)部或外部黑客會試圖侵入企業(yè)網(wǎng)絡并找到其中的漏洞。但一些滲透測試策略還可能包括社會工程，從而暴露出員工需要接受培訓的地方。注意不要詆毀犯錯的員工，并鼓勵組織內(nèi)進行最透明的討論。

定期交談

不要低估頻繁討論網(wǎng)絡安全的重要性。員工（尤其是領導者）與團隊成員討論威脅和漏洞的次數(shù)越多，就越有準備處理這些問題。討論安全性還可以阻止員工做出不明智的決定。

13.不斷完善網(wǎng)絡

任何安全措施都不是萬無一失的。漏洞、錯誤配置、失誤和熟練的攻擊者都可能造成網(wǎng)絡和其他安全漏洞。即使是最強大的安全堆棧和最有彈性的網(wǎng)絡，如果沒有維護也會崩潰。更新軟件和默認憑據(jù)、禁用過時的協(xié)議以及執(zhí)行定期網(wǎng)絡安全審核將有助于您的組織始終掌握網(wǎng)絡改進的前沿。

自動更新系統(tǒng)

通常，可以設置本地網(wǎng)絡路由器、防火墻和其他設備自動下載新更新，這樣設備和固件就不會受到攻擊。但是，請注意，更新期間斷電（或更新有缺陷）可能會導致設備故障。

更改默認憑證

路由器和其他設備通常帶有公開的默認設置和名稱，但這些卻為黑客敞開了大門。網(wǎng)絡管理員應更改默認路由器密碼，以防止未經(jīng)授權(quán)的訪問。美國聯(lián)邦貿(mào)易委員會 (FTC) 提供了更廣泛的建議，以確保家庭 Wi-Fi 網(wǎng)絡的安全，并為辦公室和消費者提供了其他提示。

不要使用過時的協(xié)議

IT 設備具有向后兼容性，但這可能會帶來問題，因為其中包括對過時且危險的選項的支持。我建議在整個生態(tài)系統(tǒng)中禁用不安全的協(xié)議和端口（如FTP或SMBv1），以防止將來出現(xiàn)漏洞。使用網(wǎng)絡管理控制臺禁用您不希望網(wǎng)絡再允許的任何過時協(xié)議。

審計網(wǎng)絡

定期對整個網(wǎng)絡進行審核，以便不斷發(fā)現(xiàn)漏洞和弱點。審核應涵蓋硬件和軟件，因此您的交換機、路由器、操作系統(tǒng)、計算機和服務器都經(jīng)過測試和審查，以確保安全性和性能。

綜述：確保網(wǎng)絡安全是一個持續(xù)的過程

網(wǎng)絡是用戶及其計算機與他們需要訪問的資產(chǎn)之間的橋梁。網(wǎng)絡安全保護著這座橋梁，但為了確保安全，橋梁的每一端也必須受到用戶、應用程序、數(shù)據(jù)和資產(chǎn)的安全保護。安全策略的每個組成部分都加強并保護整個組織免受任何特定組件故障的影響。

IT安全團隊不僅需要了解當前和未來的需求，還必須清楚地向非技術(shù)利益相關者傳達這些需求，以獲得預算和其他支持。