是时候仔细研究您是否专门资源来确保网络基础架构。简短答案:您可能不是。
如果您为超级标准工作,您的组织可能正在竭尽所能确保网络。对于几乎所有其他人来说,可以肯定地假设答案是否定的。
这不一定是怪罪的失败。在许多情况下,这取决于可用的资源和感知风险:对于网络安全而言,花费的钱太少了,太少的时间太少,无法应对网络中所有可能的风险,网络网络安全人员应该专注于什么?他们倾向于减少网络的向内方面的关注,而更多地关注明确的向外部件。
当然,那里有两个大问题。“朝内”是一个摇摇欲坠的概念,并且一直在变得更加摇摇欲坠 - 也就是说,在“企业环境中的“内部”和“外部”中的内容之间,越来越困难地越来越难。多么真实的“内部”,这就是内部人士威胁所生活的地方。
这意味着,在进行风险评估时,它应该考虑确保确保全部他们的网络基础架构与他们认为确保更明显直接互联网的部分的方式相同。校园开关换句话说,与主要的Internet路由器或应用程序交付控制器一样,是企业攻击表面的一部分。
因此,网络安全人员可能应该花更多的时间来改善其网络基础架构的安全性,从而提高企业的整体安全性。这是四种方法。
这些方法都不是免费的。他们至少要花费IT员工的时间,而且员工的时间是宝贵而稀缺的。但是,这些赌注继续增加网络安全,尤其是在无处不在的网络钓鱼时代和低弱的勒索软件中,编织成广泛的,适应性的,持续的攻击运动。
其中一些建议似乎很熟悉且显而易见,但不要脱离接触,因为您已经知道自己应该这样做,可以通过重新考虑。
停止共享通用凭据
没有人真的需要告诉其他人,这是一个坏主意,但是令人震惊的IT商店仍然这样做:有一个帐户,有时是其中许多商店,网络人可以根据需要登录以获取管理访问权限转换等等。
由于许多原因,这是一个坏主意,但是在这里让我们强调三个:这使对特定人的行政行为更加困难或不可能;这大大增加了证书受到损害的机会;这大大增加了内部不应再访问该帐户的人的机会。(That last actually sneaks in a fourth point: It won’t just be insiders who no longer need access that retain it, it will also be recently terminated staff.) Fundamentally, once things are set up this way, there is simply no way to know who has access to the network anymore.
每个需要访问的人都应该有自己的帐户。自从这方面对网络团队视而不见的时间已经结束了。
减少有访问权限的人数
如果没有帐户的访问管理,确保基础架构几乎是不可能的一个方面是限制对实际需要的人的访问。对访问网络基础架构访问的帐户的审核几乎总是为不再需要访问的人们提供帐户,因为他们的工作已经改变,并且通常会出现与前雇员相关的一些仍然活跃的帐户。
它必须定期审核授权帐户。这应该是使其成为标准流程的暂停者,以审查与职位相关的所有帐户,每当填补或撤离职位时,并在人离开公司时都会使授权帐户失去权力。
进行多因素身份验证
没有人真正需要说服多因素身份验证(MFA)对大多数系统的安全性有所改善,从而大大增加了进入不想要的地方的困难。对于基础架构而言,这与银行申请一样。(当然,妥协网络可以在最坏情况下以所有应用程序的折衷结束。)
网络团队应通过RADIUS或TACACS+将其开关指向具有MFA能力的身份服务。
进行软件定义的周长
实施软件定义的周边系统将使它可以使用MFA围绕单人/单元访问的其他保护。例如,SDP软件只能从健康的笔记本电脑或台式机良好的台式机和/或仅来自物理网络的特定段,等等。此外,即使无法在网络上看到它们,也可以阻止无权管理网络节点的帐户;未经授权的用户或系统将是看不见的。