这些最基础的安全工作，往往非常有效

一句谚语，是这么说“好的事情总是单独来，坏的事情总是成群结队来”。就数据泄漏这样的违规事件或者更早的WannaCry勒索软件事件，以下的安全建设与防御思路，我们总结了不止一次，再次奉上。

或者，换而言之，“假定数据泄漏的违规事件一定会发生，只是早晚的问题”；以下这些方式方法及行动，您做到了哪些？

认真的做好前期准备工作

• 执行风险评估

在如今的信息化发展程度下，注定了面面俱到地进行安全管理是一件几乎不可能的事情。 企业的安全建设是不断规避风险的动态过程，因此需要大家通过不断根据业务目标来调整相应的安全措施，将工作重点聚焦在对您业务产生最大影响的风险上。

• 建立对等的安全保护

企业网络在一开始进行设计和架构的时候都是很不错的，但是随着业务的持续发展，网络复杂度和规模都会持续增加，这就导致安全方案的效果越来越差，或者为了维持相同的效果而变得十分复杂。无论是那种，最终都会遇到网络盲点，而导致保护不到位。要充分了解自己的优势和弱点，就要利用可见性和控制能力来识别和管控这些优势和弱点。

你还需要评估攻击者对于关键数据的攻击路径，包括漏洞链（或称为组合漏洞），帮助你优先考虑要解决哪些漏洞。业界有很多值得借鉴和参考的框架指南，比如ISO，CIS关键安全控制（SANSTop 20）和NIST网络安全框架。

• 资产识别

企业网络的规模在迅速扩大，并且联通了各种生态系统，从虚拟化数据中心到混合多云环境。再加上接入网络的终端设备数量的不断增长以及物联网设备的爆炸式增长，建立和维护设备的准确清单是一件极富挑战性的工作。

你可能需要投资一些在网络中来识别设备类型、操作系统和补丁状态等等资产状况的工具。在大型环境中，还需要将这些信息与良好的威胁情报联系起来，才能查看并确定最高风险的优先级。

扎实的做好防御工作

让自己的内网安全基础高一些

实际上，绝大多数攻击针对的是已经有补丁可用的漏洞，至少已有三年时间，其中有的达十年之久。

盘点系统，建立更新机制。 接下来，在确保你所管理的设备已打补丁之后，确保那些不能控制的设备与系统进行隔离或建立了拒绝访问策略。 您还需要确定并替换或删除那些无法修补或保护的系统。理想情况下，整个过程需要自动化来降低重复的人工劳动，持续跟踪修复情况，并且持续监测网络安全态势。

将本地与全球威胁情报整合进SIEM平台中

高级威胁情报使组织能够缩短检测威胁的时间，缩小检测与响应之间的差距。靠本地情报是远远不够的，及时了解全球最新的威胁趋势和漏洞利用情况是安全管理人员的基础功课。将这些数据转变为可操作的情报，就能驱动基础设施数据与本地情报进行交叉关联，这可能需要安全信息和事件管理（SIEM）和Web应用防火墙（WAF）来消费这些情报和数据，将之转换为可执行的安全策略，甚至能够自动执行策略来保护网络。

SIEM工具还可以汇总来自整个网络的数据，将其与本地和全球威胁情报源相关联，然后提供即时详细信息，如IoC（失陷信标）和安全策略违规情况。

部署基于签名的安全工具

企业对于安全的投入始终在寻找投入产出比的绝佳平衡点。在大多数情况下被利用的漏洞都是已知的，所以针对这些漏洞的攻击可以使用基于签名/特征的方法来检测。基于特征的检测工具可以让您快速查找并阻止任何尝试的渗透，或执行针对已知漏洞的漏洞利用。这已经可以帮助企业解决所面临的大多数威胁了。

使用基于行为的分析与数据清理工具

基于签名/特征的检测只能解决一部分问题。高端、复杂的攻击者可以轻松规避传统保护措施并免疫多种检测手段。这意味着您还需要一些高级威胁防护工具，例如基于行为诱发和和识别技术的沙箱来检测用于发起零日攻击的恶意软件变体或定制恶意软件，并与其他安全基础架构进行协同联动。此外，用户与实体行为分析（UEBA）工具还可以更轻松地识别内部安全威胁并找到犯罪者。

说起来容易做起来难。攻击者还使用先进的技术，例如学习和模仿合法的流量模式以逃避检测。 安全工具不仅需要检查数据和应用程序，寻找隐藏的恶意软件，而且还要提供深入检查、分析、查询以及关联行为模式，最终检测并确定恶意目的。在可能的情况下，智能安全系统需要能够主动自动进行干预，以便在攻击开始之前阻止攻击。

另外一种新的趋势是使用CDR（Content Disarm& Reconstruction）工具。CDR处理传入的文件，解构它们，并删除其中的可执行内容，比如宏、脚本、超链接等等，通过主动从特定文件中删除恶意内容来提升在文件侧进行零日攻击防护的能力，从而防止意外加载链接的恶意软件和恶意可执行文件。

用WAF保护针对Web的攻击

许多威胁不再通过传统途径进入网络。利用Web应用漏洞进行的针对Web的攻击情况呈指数级增长 - 特别是那些直接在数据中心查询和挖掘信息的应用程序。

由于对自主开发和定制的Web应用程序的需求增长十分快速，许多组织根本没有时间或资源在部署之前对其进行充分测试和加固。缩小差距的一个有效方法是部署WAF。 这些安全设备专门设计用于提供远远超出传统NGFW技术所提供的Web应用程序流量的深入高性能检测。

把单点防御连起来

考虑到今天的多维度和智能威胁的性质，安全解决方案需要相互关联成为一个可以跨越并适应弹性网络架构的生态系统。 动态集成和关联提供了整个网络的实时可视性，这是至关重要的，因为你无法抵御您无法看到的威胁。

网络隔离

鉴于网络化生态系统的流动性以及跨越多个网络的广泛应用和数据流，建立并维护安全有效的网络隔离比以往任何时候都更加重要，从而防止威胁在网络中横向移动和肆意传播。

不管是在单一环境中收集和关联大量数据还是互连跨越多个网络环境的情况，建立隔离控制措施尤为重要，隔离控制可以检测已穿透一个网段的周边并且正在横向移动的威胁。如果没有隔离和检测工具，这些威胁可以自由采集、破坏和泄露数据。

其实，从“最坏的情况”出发的思考以及行动设定，不失为努力成为“最好的结果”的方式。

声明：本文来自Fortinet，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。