文章摘要:网络安全负责人面临着越来越大的压力,需要在攻击发生前就将其阻止,而最佳防御措施或许取决于初始阶段所选择的设置。在本文中,尤里・齐贝雷(Yuriy Tsibere)探讨了 “默认拒绝”“强制多因素认证(MFA)”“应用程序围栏(Ringfencing™)” 等默认策略如何消除各类风险。从禁用 Office 宏到阻止服务器出站流量,这些简单却具有战略性的举措能构建一个攻击者难以渗透的坚固环境。无论你是负责终端安全防护,还是监督安全策略的推行,树立 “默认安全” 理念都能降低防护复杂度、缩小攻击面,并帮助你抵御不断演变的威胁。
自 2001 年 “爱虫”(Love Bug)病毒事件以来,网络安全领域已发生翻天覆地的变化。曾经只是令人困扰的安全问题,如今已演变为价值数十亿美元、以盈利为目的的犯罪活动。这种转变要求我们采取主动防御策略 —— 不仅要应对威胁,更要在威胁触及网络前就将其阻断。首席信息安全官(CISO)、IT 管理员和托管服务提供商(MSP)需要的是 “默认阻止攻击” 的解决方案,而非仅在事后检测威胁的工具。尽管 NIST(美国国家标准与技术研究院)、ISO(国际标准化组织)、CIS(互联网安全中心)、HIPAA(美国健康保险流通与责任法案)等行业框架提供了指导,但它们往往缺乏清晰、可操作的步骤来实施有效的安全防护。
对于任何刚担任安全领导职务的人来说,使命都很明确:尽可能阻止攻击、挫败威胁行为者,同时又不引起 IT 团队的抵触。这就需要树立 “默认安全” 理念 —— 通过配置系统,从一开始就阻断风险。正如我常说的,攻击者只需成功一次,而我们必须做到万无一失。
以下将介绍如何通过设置合理的默认配置,消除各类风险。
要求所有远程账户启用多因素认证(MFA)
在所有远程服务中启用多因素认证是基础的安全默认配置,这些服务包括 Office 365、G Suite 等软件即服务(SaaS)平台,以及域名注册商和远程访问工具。即便密码泄露,多因素认证也能阻止未授权访问。需注意,尽量避免使用短信作为多因素认证方式,因为短信存在被拦截的风险。 虽然启用多因素认证可能会给用户操作带来些许不便,但相比数据被盗或财务损失的风险,其安全收益远大于这一点不便。默认拒绝(Deny-by-Default)
如今最有效的安全措施之一是应用程序白名单(或称 “允许列表”)。这种方式默认阻断所有程序运行,仅允许已知、已批准的软件启动。如此一来,勒索软件及其他恶意应用在执行前就会被拦截,同时还能阻断 AnyDesk 等 “合法但未授权” 的远程工具 —— 攻击者常通过社会工程学手段试图植入这类工具。 用户仍可通过预先批准的 “安全应用库” 获取所需应用,且可视化工具能轻松追踪所有运行中的程序(包括便携式应用)。通过安全配置实现 “快速见效”
对 Windows 及其他平台的默认设置进行细微调整,就能填补重大安全漏洞:为企业管控网络与应用程序行为
强化数据与网络控制
超越默认配置:强化监控与补丁更新
完善的默认配置只是起点,持续的警惕至关重要: “默认安全” 不仅是明智之举,更是必不可少的要求。阻断未知应用、采用强认证方式、锁定网络与应用程序行为,能大幅降低风险。攻击者只需一次机会,但完善的默认配置能让防御始终处于戒备状态。最终的回报是什么?更少的安全漏洞、更低的维护成本,以及更强大、更具韧性的安全体系。 注:本文由 ThreatLocker 公司产品经理兼业务分析师尤里・齐贝雷(Yuriy Tsibere)专业撰写并供稿。
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论