五个基本操作，帮你抵御99%的网络攻击

在当今数字时代中对于企业来说，抵御网络威胁、最大限度地降低风险来确保组织的持续生存能力，是尤为重要的。尽管风险因素不断发展并变得越发复杂，但网络安全的一个真理值得重复强调：基本的网络安全卫生，是可以防止99%的攻击。

   在当今数字时代，企业越来越依赖于技术和在线系统来开展业务。因此，满足网络卫生的最低标准对于防范网络威胁、最大限度地降低风险、并确保业务持续可行性至关重要。 基本安全卫生仍然可以有效预防99%的攻击¹。每个组织应采用以下最低标准：启用多因素身份验证（MFA）、应用“零信任”原则、使用扩展检测与响应和使用反恶意软件、时时保持系统更新，以及保护数据。  

每个组织应采用图示最低标准

1.

启用多因素身份验证（MFA）

想要减少对您账户的攻击？打开MFA。顾名思义，多因素身份验证需要两个或多个验证因素。攻击者破坏多个身份验证因素的挑战性会非常高，因为仅仅知道（或破解）密码并不足以访问系统。启用MFA后，可以防止99.9%的账户攻击²。

让MFA变得更加容易

多因素身份验证——虽然听起来和名字一样，需要额外的步骤操作，但你应该尝试为员工选择具有最小阻力的MFA选项。例如在设备中使用生物识别技术，或FIDO2兼容因素，如Feitan或Yubico安全密钥。避免使MFA变得繁重。

当额外的身份验证可以帮助保护敏感数据和关键系统，而非将其应用于每个单独的交互程序时，请选择MFA。

对于最终用户来说，MFA并不一定具有挑战性。使用条件访问策略，允许基于风险检测触发双重验证，以及直通身份验证和单点登录(SSO)。当终端用户的设备具有最新的软件更新版本时，他们就不必多次登录以访问公司网络上的非关键文件、日历。用户也将不需要进行90天的密码重置，这将大大改善他们的体验。

常见网络钓鱼攻击

在网络钓鱼攻击中，犯罪分子使用社会工程策略，诱骗用户提供访问凭据或泄露敏感信息。常见的网络钓鱼攻击包括以下内容³ 。

常见的网络钓鱼攻击

2.

应用“零信任”原则

零信任是任何弹性计划的基石，它限制了对组织的影响。零信任模型是一种主动的、集成的安全方法，它跨越数字资产的所有层级，明确且持续地验证每笔交易，维护使用最小权限访问，依赖于情报、提前探测、和对威胁实时反应。

当你采用零信任方法时，就有可能：

◉ 支持远程和混合工作

◉ 帮助防止或减少数据泄露造成的业务损失

◉ 识别并帮助保护敏感的业务数据和身份

◉ 在领导团队、员工、合作伙伴、利益相关者和客户中，建立对安全态势和计划的信心

零信任原则是：

假设违约

假设攻击者有能力且可以成功攻击任何对象（身份、网络、设备、应用程序、基础设施等），并做出对应的计划。这意味着安全人员需要不断监控环境，以预防潜在攻击。

显式验证

在允许访问资源之前，确保用户和设备处于良好状态。验证所有的信任及安全决策过程中是否已使用相关可用的信息和遥测技术，保护资产免受攻击者的控制。

使用最小权限访问

通过即时访问(JIT/JEA)和基于风险的策略（如自适应访问控制）来限制对潜在受损资产的访问。你应该只允许访问资源所需的特权，而不是其他特权。

零信任安全层

零信任安全层

安保措施过多也会引发问题

过多的安全性（即对日常用户来说过于严格的安全性）可能导致与最初没有足够安全性相同的结果，引发更多的风险。

过于严格的安全程序会让人们难以完成自己的工作，更糟糕的是，它可能会促使人们寻找“影子IT”解决方案来完全绕过安全性屏障：通过使用自己的设备、电子邮件和硬盘工作，使用安全性较低、对业务带来更高风险的系统⁴。

3.使用扩展

检测和响应及反恶意软件服务

使用软件来检测和自动阻止攻击，并提供安全操作的相关洞察。实时监测威胁检测系统生成的洞察对于帮助我们及时响应威胁至关重要。

安全自动化和编排最佳实践

让尽可能多的工作自动化

在将问题发送给安全运营分析师之前，选择并部署一系列的传感器，让他们可以自动监测并相互关联和相互传输其发现。

自动收集警报

安全运营分析师应该拥有对警报进行分类和响应所需的一切，而无需执行任何额外的信息收集，例如查询可能脱机（也可能不脱机）的系统，或者从资产管理系统或网络设备等其他来源收集信息。

自动设置警报优先级

分析人员应该利用实时分析来确定事件的优先级，评估应基于威胁情报、订阅消息、资产信息和攻击指标。分析人员和事件响应人员应该关注最严重的警报。

自动化任务和流程

首先针对常见、重复和耗时的管理流程，我们首先应该标准化响应流程。一旦响应标准化，就可以自动执行安全运营分析师的工作流，在可能的情况下避免任何人工干预，以便他们能够专注于更关键的任务。

持续改进

监控关键指标并调整传感器和工作流以驱动增量更改

帮助预防、检测和响应威胁

通过利用综合的预防、检测、和响应功能，以及集成的扩展检测和响应(XDR)和安全信息和事件管理(SIEM)功能，来抵御工作中的各种威胁。

远程访问

攻击者经常以远程访问解决方案(RDP、VDI、VPN等)为目标，进入环境并运行正在进行的操作，破坏内部资源。为了防止攻击者进入，你需要:

◉维护软件和设备更新

◉强制零信任用户和设备验证

◉为第三方VPN配置安全方案

◉发布本地web应用程序

电子邮件和协作软件

攻击者进入环境的另一种常见策略是通过电子邮件或文件共享工具传输恶意内容，然后骗取用户信任并运行它。为了防止攻击者进入，你需要：

◉实施高级电子邮件安全

◉启用攻击面缩减规则，阻断常见攻击技术

◉扫描附件是否存在基于宏的威胁

端点

暴露于Internet的端点是攻击者们最常使用的入口向量，因为攻击者能够通过它们访问组织的资产。为了防止攻击者进入，你需要:

◉使用针对特定软件行为的攻击面减少规则来阻止已知的威胁，例如启动可执行文件和试图下载或运行文件的脚本，运行模糊或其他可疑脚本，或执行应用程序在正常日常工作中通常不会启动的行为

◉维护你的软件，使其得到更新和支持

◉隔离、禁用或淘汰不安全的系统和协议

◉使用基于主机的防火墙和网络防御阻止意外流量

检测和响应

保持高度警觉

使用集成XDR和SIEM提供的高质量警报，并最大限度地减少响应过程中的摩擦和手动步骤。

清理旧系统

缺乏安全控制的旧系统，如防病毒和端点检测和响应(EDR)解决方案，可能允许攻击者从单个系统执行整个勒索软件和泄露攻击链。如果不可能为遗留系统配置安全工具，则必须在物理上（通过防火墙）或逻辑上（通过删除与其他系统的凭据重叠）隔离系统。

不要忽视恶意软件

经典的自动勒索软件可能缺乏动手键盘攻击的复杂性，但这并不意味着它的危险性降低。

注意攻击者禁用安全性

保持监测你的环境，以防攻击者禁用安全性（通常是攻击链的一部分)，如清除事件日志，特别是安全事件日志和PowerShell操作日志，以及禁用与某些组关联的安全工具和控件⁵。

4.

时时保持系统更新

系统未打补丁或者过时，是许多组织被攻击的主要原因。确保所有系统保持最新状态，包括固件、操作系统和应用程序。

最佳实践

◉通过应用补丁、更改默认密码和默认SSH端口，来确保设备的稳健性；

◉通过消除不必要的互联网连接和开放端口，通过阻止端口限制远程访问，拒绝远程访问和使用VPN服务来减少攻击面；

◉使用物联网和操作技术（IoT/OT）感知的网络检测和响应（NDR）解决方案，以及安全信息和事件管理（SIEM）/安全编排和响应（SOAR）解决方案，来监控设备的异常或未经授权的行为，例如与不熟悉的主机通信；

◉对网络进行分段，以限制攻击者在初始入侵后横向移动和危及资产的能力。物联网设备和OT网络应通过防火墙与企业IT网络隔离；

◉确保ICS协议不直接暴露在互联网上；

◉深入了解网络上的IoT/OT设备，并根据企业的风险对其进行优先排序；

◉使用固件扫描工具了解潜在安全漏洞，并与供应商合作确定如何降低高风险设备的风险；

◉通过要求供应商采用安全开发生命周期的最佳实践，为IoT/OT设备安全性带来积极影响；

◉避免通过不安全的渠道或向不必要的人员传输包含系统定义的文件；

◉当传输此类文件不可避免时，请确保监测网络上的活动及确保资产的安全；

◉通过监测EDR解决方案保护工程站；

◉主动对OT网络进行事件响应；

◉使用Microsoft Defender for IoT等解决方案部署持续监控⁶。

5.

数据保护

了解重要数据的位置、是否安装了正确的系统，对于进行适当的保护至关重要。数据安全挑战包括：

◉减少和管理用户故障带来的风险

◉手动进行用户分类，在规模上是不切实际的

◉数据必须在在网络之外被保护

◉合规性和安全性需要一个完整的策略

◉满足日益严格的合规性需求

数据安全纵深防御的五大支柱

现如今，混合工作空间需要从世界各地的多个设备、应用程序和服务中访问数据。由于存在众多平台和接入点，我们必须有强大的保护措施来防止数据盗窃和数据泄漏。对于当下的环境，纵深防御方法提供了加强数据安全的最佳保护。该策略有五个组成部分，都可以按照符合组织需求、遵从法规要求的任何顺序来进行制定。

1. 确定数据环境

在保护敏感数据之前，你需要了解数据的位置以及访问方式。这需要完全了解整个数据资产，无论是本地云、混合云还是多云(Multicloud)。

2. 保护敏感数据

除了创建整体数据地图外，你还需要保护你的静态数据和传输数据。这就需要对数据进行准确标记和分类，以便深入了解如何访问、存储和共享数据。准确地跟踪数据将有助于防止它成为泄漏和破坏的牺牲品。

3. 管理风险

即使对数据进行了适当的映射和标记，也需要考虑可能导致潜在数据安全事件（包括内部威胁）的数据和适用的用户场景。将合适的人员、流程、培训和工具结合在一起，是解决内部风险的最佳方法。

4. 防止数据丢失

不要忘记未经授权使用数据，因为这也是一种损失。一个有效的数据丢失保护解决方案需要在数据保护和提高生产力之间进行平衡。确保适当的访问控制和设置策略，以防止不正确地保存、存储或打印敏感数据等操作。

5. 管理数据生命周期

随着数据治理也转变为一种业务团队，业务团队成为了自己数据的管理者，组织必须在整个企业中创建统一的方法。这种主动的生命周期管理可以带来更好的数据安全性，并有助确保数据以负责任的方式为用户所用，从而推动业务价值⁷。

结论

尽管威胁因素不断发展并变得越来越复杂，但网络安全的一个真理值得重复强调：基本的网络安全卫生，即“启用MFA，应用零信任原则，保持最新，使用现代反恶意软件，保护数据”，可以防止99%的攻击。

我们必须满足一个网络安全卫生的最低标准，来助力实现抵御网络威胁，最大限度地降低风险，并确保组织的持续生存能力。

参考资料

[1] 《2023微软数字防御报告》

[2] 《一个简单的行动，可以防止99.9%的攻击你的账户》

[3]想了解更多有关密码和身份相关主题的信息，请查看以下微软资源：《首席信息安全官（CISO）系列：使用分阶段的路线图保护你的特权管理账户》 、《不断变化的策略导致商业邮

件泄露事件激增——网络信号第4期：信心游戏》

[4] 想了解更多有关零信任主题的信息，请查看以下微软资源：《为什么选择零信任 》、《为

企业采用零信任安全策略的5个理由 》、《零信任安全状况评估》

[5]想了解更多有关使用现代反恶意软件的信息，请查看以下微软资源：《安全操作自我评估工

[6]想了解更多有关保持系统更新信息，请查看以下微软资源：《7种方法加固你的环境防止被

入侵》、《通过理解网络安全风险变得有弹性：第4部分——应对当前的威胁》

[7]想了解更多有关数据保护的信息，请查看以下微软资源：《建立信息保护程序的3种策略》、《启动有效数据治理计划的3种策略》