快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

美国国家安全局NSA发布十大收集安全缓解战略

美国国家安全局的十大缓解战略反击了APT攻击者可能使用的种种手艺手段。美国国家安全局的缓解措施为企业构造确定了优先事项,以绝量缩小营业影响。缓解措施确立在NIST收集安全框架职能的基础上,以治理收集安全危害并促进纵深防御。缓解策略按照已知APT策略的有用性进行排名。需要采取其他战略以及最好做法来减轻新战术的发生。 

收集安全防护症结词:识别(Identify)、维护(Protect)、检测(Detect)、响应(Respond)、恢复(Recover)

1.立即更新以及升级软件

症结词:识别(Identify),维护(Protect)

应用所有可用的软件更新,绝可能使流程自动化,并使用从供应商直接提供的更新服务。自动化是必要的,因为攻击者研究补丁、漏洞行使要领通常在补丁发布后不久。这些“N天”的漏洞行使可能会像零日漏洞同样具有损坏性。供应商更新也必须是真正的;更新应确保内容的完备性。要是没有快速以及彻底为应用程序打补丁,攻击者可以在防御者的补丁周期内实施入侵。

2.维护特权以及帐户安全

症结词:识别(Identify),维护(Protect)

根据危害暴出面调配特权,并按照请求进行珍爱操作。使用特权走访治理(PAM)解决方案来自动化凭据治理以及细粒度走访控制。另一种治理特权的要领是通过分层治理走访,其中每一个高级层提供额外的走访权限,但仅限于更少的人员。创建程序以安全地重置凭据(例如,暗码、令牌、标签)。必须对特权帐户以及服务进行控制,防止攻击者以治理员身份走访高价值资产,并通过收集进行横向挪移。

3.强制软件执行策略

症结词:维护(Protect),检测(Detect)

使用新版本的操作体系,并为脚本、可执行文件、设备驱动程序以及体系固件强制签署软件执行策略。珍爱一个可托证书列表,以防止以及检测非法可执行文件的使用以及注入。执行策略与安全启动功能结合使用时,可以确保体系完备性。应用程序白名单应与署名的软件执行策略一块儿使用,以提供更好的控制。 允许未署名的软件将使攻击者通过嵌入式恶意代码获得立足点并确立持久性。

4.执行体系恢复计划

症结词:识别(Identify),响应(Respond),恢复(Recover)

创建,审查以及实施体系恢复计划,以确保将数据恢复为周全劫难恢复策略的一部分。该计划必须维护症结数据、设置以及日记以确保由于不测事故而导致的操作连续性。为了获得额外的维护,黑客工具,应绝可能加密备份,异地存储,脱机,并支持体系以及设备的完备恢复以及重构。执行定期测试并评估备份计划。根据需要更新计划以适应不断变迁的收集环境。恢复计划是自然灾害和包括勒索软件在内的恶意威胁的必要缓解措施。

5.踊跃的体系以及设置治理

症结词:识别(Identify),维护(Protect)

清点收集设备以及软件资产。从收集中删除不需要的,无须要的或不应该存在的硬件以及软件。从已知基线最先缩小攻击面并确立操作环境的控制。此后,踊跃治理设备、应用程序、操作体系以及安全设置。踊跃的企业治理确保体系能够适应动态威胁环境,同时扩大以及精简治理操作。

6.持续猎取收集入侵

症结词:检测(Detect),响应(Respond),恢复(Recover)

采取主动措施检测,遏制并移除收集中的任何恶意存在。企业构造应该假设被入侵,并且使用专程的团队不断寻觅、遏制并移除收集中的威胁。诸如日记,安全信息以及事故治理(SIEM)产品,端点检测以及响应(EDR)解决方案和其他数据阐发功能的被动检测机制是发现恶意或异常举动的宝贵工具。踊跃的动作还应该包括追踪以及渗透排泄测试,使用具体记录的事故响应程序来处理任何发现的安全漏洞。确立踊跃主动的步骤将使构造过渡到基本检测要领之外,使用持续监控以及缓解策略完成实时威胁检测以及修复。

7.行使当代硬件安全特性

症结词:识别(Identify),维护(Protect)

使用硬件安全功能,如统一可扩大固件接口(UEFI)安全启动,可托平台模块(TPM),以及硬件捏造化。对硬件进行固件升级。当代硬件特性增添了启动过程的完备性,为高危害应用程序提供了体系认证以及支持功能。使用过时的硬件上的当代操作体系会降低维护体系、症结数据以及对攻击者的认证能力。

8.使用基于应用感知防御手艺隔离收集

症结词:维护(Protect),检测(Detect)

隔离症结收集以及服务。根据政策以及执法授权,部署基于应用感知的收集防御措施可以阻止欠妥形成的流量并制约内容。基于已知-不良署名的传统入侵检测由于加密以及混淆手艺而迅速降低了效劳。威胁举动者隐躲恶意举动并通过通用协定删除数据,因此需要复杂的应用感知防御机制,这对当代收集防御相等重要。

9.整合威胁信誉服务

症结词:维护(Protect),检测(Detect)

行使多来源的威胁信誉服务来处理文件、DNS、url、IPs以及电子邮件地址。信誉服务协助检测以及防止恶意事故,并允许对威胁进行快速的环球响应,缩小已知威胁的暴露,并提供更大的威胁阐发以及引爆能力,而不是构造可以自行提供。新出现的威胁,无论是针对目标的照样环球性的, 都比大多数构造所能处理的要快,从而导致对新增威胁的报导不足。多源信誉以及信息同享服务可觉得针对动态威胁举动者提供更及时有用的安全姿态。

10.转换到多身分认证

症结词:识别(Identify),维护(Protect)

优先维护具有抬举特权、遥程走访、用于高价值资产的帐户。应使用基于物理令牌的认证体系来补充基于知识的验证,如暗码以及PIN。构造应从单身分身份验证(如基于暗码的体系)迁移出去,这些体系的用户选择较差,易受到多个体系中的凭据失窃,伪造以及重复使用的影响。

参考来源:

https://www.iad.gov/iad/library/ia-guidance/security-tips/nsas-top-ten-cybersecurity-mitigation-strategies.cfm

*

您可能还会对下面的文章感兴趣: