趋势与观点 | 网络安全风险评估70问

从理论上讲,每个人都可以遵循蓝图来设计网络安全防范风险,但为什么网络安全事件依然频频发生?事实上,根本不存在可以一劳永逸消除所有网络风险的途径,无论是采取行动、花费资金或利用技术。风险的来源和程度随着威胁形势而不断变化,威胁实施者也在不断部署新技术并利用新发现的漏洞。

网络安全熵

网络世界类似于物理学中的熵概念。熵是系统无序的量度。熵越高,系统就越混乱。一般来说,有了熵,所有事物都会随着时间的推移变得不那么有条理。在保护网络时,这当然是正确的。随着时间的推移,威胁参与者通常会变得更加有条理,并且需要降低风险以跟上步伐。

几乎每个网络都会经历安全熵。即使企业已尽一切可能降低风险,但随着时间的推移,会暴露出更多的漏洞(以及由此产生的风险)。数据试图逃逸,而一直稳定的东西变得不稳定—换句话说,它们经历了熵。系统和安全措施变得不那么有条理,更加混乱,并受到更多的熵的影响。

70层防御

可以提出70个问题来确定企业是否涵盖了大多数防御原则,并已采取措施降低与网络安全相关的风险(和熵)。

如果您对以下70个问题的回答“是”,那么您的网络安全风险就大大降低了。但即便如此,风险仍然存在,必须持续监控和缓解熵。没有特定数量的层可以消除所有风险,就像物理宇宙中没有任何东西不经历熵一样。

以下70个问题,排列不分先后:

培训

1. 您是否进行过强大且频繁的最终用户网络安全意识培训?

2. 您是否教过每个人如何安全地存储密码或密码短语?

3. 您是否每季度开展一次反网络钓鱼、短信钓鱼和电话钓鱼活动?

4. 组织中的每个人都是否了解与网络安全相关的风险,威胁参与者使用的常见策略以及如何报告任何可疑活动以供进一步调查?‍

访问控制

5. 所有供应商默认帐户是否已更改或禁用?

6. 是否只启用必要的服务、协议、守护进程和功能?

7. 是否删除或禁用了所有不必要的功能?

8. 终止雇佣关系后,所有帐户是否会立即被禁用或删除?

9. 是否所有屏幕空闲时间都设置为 15 分钟,是否需要重新进行身份验证才能解锁?‍

最终用户

10.您是否为最终用户提供了保存所有密码的工具(最好是基于云的家庭和工作使用)?

11.您是否开发了一个管理员(admin)和用户密码字母或短语策略,消除了使用常见的或容易猜测的密码?‍

终端

12. 是否所有终端日志都由使用基于威胁参与者活动和启发式的威胁情报和人工智能 (AI)的智能技术摄取?

13. 您是否强化了所有终端并删除了作业功能不需要的所有内容?

14. 您是否在利用具有内置安全上下文的基于威胁情报的安全分析平台的所有终端上提供下一代反恶意软件保护(例如,托管检测和响应 [MDR]、扩展检测和响应 [XDR]、端点检测和响应 [EDR])?

15. 您是否阻止非企业控制和受保护的设备连接到网络的任何部分?

16. 是否所有终端都有个人防火墙,用于在未连接到企业网络时访问Internet?

17. 是否所有终端都安装了无法禁用的防病毒软件,并在有新的更新可用时自动更新?

18. 是否所有终端都安装了下一代反恶意软件应用程序?‍

事件管理

19. 所有日志是否至少存储2年?

20. 是否所有设备都生成日志?

21. 内部和/或外部来源是否每天都会审查所有日志?

22. 您是否拥有成熟且组织良好的网络安全事件响应(内部或与第三方合作)来彻底调查所有事件?‍

安全架构

23. 您是否只为员工提供履行工作职能所需的工具和访问权限,而没有其他任何内容?

24. 您是否使用最小特权原则?

25. 是否部署了零信任模型?

26. 是否需要对网络外的所有连接进行多重身份验证(MFA)?

27. 您是否需要内部身份验证的网络用户进行MFA才能访问网络内的关键基础设施和数据(即顶尖业务)?

28. 您是否按照允许您快速为网络上的每个帐户执行密码重置的顺序管理所有凭据?(这包括服务帐户)

29. 您最近是否评估了您的活动目录,以确保其正确配置和受到保护?

30. 您是否正在积极监控活动目录的安全性?

31. 除非另有授权,否则您的外围防火墙是否有全部拒绝规则?

32. 您的隔离区(DMZ)是否安全?

33. 是否确认隔离区没有数据、数据库或存储帐户?

34. 您是否部署了反欺骗技术来防止伪造的IP地址进入网络?

35. 您是否阻止在互联网上披露内部IP地址和路由信息?

36. 您是否使用限制性防火墙将关键基础设施与网络的其他部分隔离开来(例如,将WiFi、机密数据、虚拟机和打印机与顶尖业务离开来)?‍

密码学

37. 是否定义和实施了程序以保护用于保护存储数据免遭泄露和滥用的加密密钥?

38. 加密密钥是否存储在至少具有双保管人的最不可能的位置?

39. 您是否在所有适当的驱动器上使用全磁盘加密?

40. 您是否在动态中使用安全加密(至少是传输层安全性(TLS)1.1 或更高层?

41. 是否所有非控制台管理访问都使用强加密技术进行加密?‍

威胁

42. 您是否定期执行有针对性的威胁搜寻?

43. 您是否摄取了当前的威胁情报(最好来自多个来源),并制定了基于良好威胁情报实施快速对策的程序?

44. 它是否包括执行例行的暗网侦察,以了解暗网上存在的有关您的品牌和企业结构的内容?

45. 您是否密切监控所有供应商和第三方供应链连接,以发现合规性和不良问题?‍

测试

46. 您是否每年至少进行一次由第三方进行的渗透测试?

47. 您是否在30天内执行例行漏洞扫描并修复通用漏洞评分系统(CVSS)评分为4或更高的所有漏洞,并在90天内修复所有其他漏洞?

48. 您是否定期扫描面向互联网的基础设施以查找渗透和漏洞?

49. 您是否与内部和外部审计师一起执行年度业务影响分析/风险分析报告?‍

政策

50. 您是否有至少每年更新一次,并被其适用各方理解的企业安全政策?

51. 您是否有正式的变更控制政策?‍

物理的

52. 限制对服务器、控制台、备份和网络设备的物理访问的流程和机制是否到位并得到适当保护?

53. 是否实施了物理和/或逻辑控制,以限制在设施内使用可公开访问的网络接入点?‍

计划

54. 您是否有每年审查和实践的良好网络事件响应计划(CIRP)?CIRP应定期更新,核心和扩展事件响应团队应至少每年使用桌面或功能网络安全练习来实践响应。

55. 您是否有处理常见网络安全事件的技术说明的剧本?‍

清单目录

56. 您是否有整个网络(包括WiFi)的完整图表?

57. 您是否拥有所有资产的完整清单,包括业务关键级别、所有者、共同所有者和恢复策略?此清单是否包括包含恢复时间段的指导说明?

58. 你有全套的数据流图吗?‍

数据管理

59. 您是否使用组织顶尖业务的文件完整性监控 (FIM)?

60. 机密数据的存储是否保持在最低限度,并在不再需要后安全删除?

61. 您是否需要在整个网络中进行数据分类?

62. 您是否在机密数据所在的任何位置部署了网络和基于云的数据丢失防护(DLP) 程序?

63. 您是否防止机密数据复制到外部设备以及外部设备连接到终端?‍

软件开发

64. 是否定义和理解了开发和维护安全系统和软件的过程和机制?

65. 软件开发人员是否定义并使用软件工程技术或其他方法来防止或减轻所有软件中的常见软件攻击和相关漏洞?

66. 关于面向公众的网络应用程序,是否正在不断解决新的威胁和漏洞?

67. 这些应用程序是否受到保护以免受攻击?

68. 预生产环境是否与正式生产环境分开,是否通过访问控制强制实施分离?‍

移动设备

69. 是否所有移动设备都受有效的移动设备管理(MDM)策略的约束?

70. 您是否禁止不受企业安全机制控制的移动设备的任何连接?

结论

那么,你找到熵了吗?您是否找到了可以包含在深度防御(DiD)网络安全策略中的其他保护层?请记住,您对这些问题的回答仅反映一个时间点。事物随时间而变化——熵发生。技术在变化,战略在变化,威胁实施者会持续取得进步并磨练他们的技能。

还值得记住的是,虽然列表中的每个项目都可以降低风险,但即使您可以自信地对所有70项做出肯定的回答,您也没有消除所有风险。那些尚未解决的问题都应当尽快添加到您的网络安全路线图中。

 

编者按:本文于2023年9月12日首次发表于ISACA官网News and Trends/Industry News。尾注略。文章内容仅代表作者本人观点。
作者:PATRICK BARNETT, CISA, CISM, CEH, CISSP, PCI QSA, PCIP,Secureworks的事件响应首席顾问,拥有超过 30 年的网络安全专业人员经验,专门从事网络工程,专注于安全性。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。