网络需要定期清洁, 就像你的家, 汽车或车库。为什么?答案很简单--安全卫生条件差可能导致重大数据泄露。如果你不定期查看你的网络, 潜在的弱点和漏洞就会堆积如山。随着我们进入春季清洁季节, 现在是IT管理员和安全专业人员赶上年度安全维护的好时机。
以下是每年应完成一次的几项任务, 以更新和振兴任何组织的安全态势:
1. 查看第三方访问和策略
网络管理员和 IT 工作人员应该有一个正式的系统来审查和删除他们向承包商和第三方发放的访问权限和凭据, 但不知何故, 其中一些总是从缝隙中溜走。
每年至少一次, 请务必查看哪些承包商和第三方服务有权访问您的网络或 VPN, 删除那些不再处于活动状态的承包商和服务, 并确保处于活动状态的承包商和服务完全锁定。例如, 如果您设置了一个临时帐户, 授予顾问特权访问权限, 但在他们的合同结束时忘记将其删除, 则会在组织的安全性中留下一个弱点。只要有可能, 请使用最小特权原则。
这也适用于防火墙策略。许多管理员会出于合理的原因添加临时策略, 但随后忘记将其删除。例如, 如果承包商需要在其总部定期使用远程队列传输文件, IT 部门可能会启动临时 FTP 服务器, 并设置策略, 让承包商通过其防火墙远程访问该服务器。一个月后, 管理员忘记了 FTP 服务器和策略。6个月后, 被遗忘的服务器还没有被补丁, 现在很容易受到几次新的攻击。
好消息是, 许多防火墙和 Utm 的功能将显示哪些策略经常使用, 哪些策略已使用数周或数月。这些功能可以帮助管理员快速清除过时的策略。
2. 清点网络升级
随着网络的发展, 您的技术安全控制需要随之增长。每年一次, 看看你的网络是如何变化的, 并评估你目前的安全硬件和软件是否仍然足够。随着员工引进更多的物联网设备, 如 fitbit 或连接的灯泡和物联网传感器进入办公室, 他们增加了端点安全解决方案的工作量。
随着网络速度的提高, 防火墙设备需要足够的电力来处理增加的通信量, 同时仍执行其所有安全扫描。一个5岁的 UTM 将无法在不降低网络性能或跳过重要安全服务的情况下处理当今网络上存在的 HTTPS 流量。确保您的网络的增长不会超过其安全控制。
3. 测试新的网络钓鱼基线
几乎每个公司都应该对所有员工进行定期的网络钓鱼培训.每年一次进行一次公司范围的测试, 以获得员工识别网络钓鱼邮件的能力以及他们是否正确响应的基准。这将让你知道这些培训是否有成效, 以及明年的重点。
此外, 请考虑如何增强或改进网络钓鱼培训计划。如果他们看到一个假的银行登录页面, 他们是否能够识别?当用户单击恶意链接时, 您的培训工具是否会立即提供反馈?让您的员工保持良好的培训, 他们将是您最大的安全资产。
4. 赶上不规则的修补
Infosec 和 IT 专业人员应该已经对普通台式机和服务器进行每月定期修补周期, 但每个网络都有一些有问题的服务器或设备没有定期修补。这些可能是为自定义应用程序运行旧操作系统的旧服务器, 或者是未定期更新的物联网(iot) 设备集合。不管是什么情况, 一定要每年盘点一次。检查所有硬件设备上的固件更新并使其更新, 并考虑更换任何危险的旧服务器的计划。
请记住, 漏洞和修补程序管理软件并不总是了解您的物联网设备, 这些设备在许多企业的终结点中所占的比例越来越大。每年或每两年签入是确保这些设备不被遗忘的好方法。
5. 更改密码并考虑 MFA 解决方案
强密码 (每个在线帐户都是唯一的长随机字符串) 不需要频繁更改, 但每年留出时间查看和更新组织的密码实践是一个很好的想法。
今年, 鼓励员工使用密码管理器和多重身份验证工具。密码管理器可以轻松地更改密码, 并且通常具有一次自动更改用户所有密码的功能。此外, 如果您的组织没有公司范围内的多重身份验证解决方案, 请考虑投资于一个。
由被盗或简单密码引起的数据泄露数量继续增加, 添加 mfa 是显著降低这些泄露风险的最佳方法之一。许多新的、基于云的 MFA 服务比过去的旧关键 fob 模型更实惠, 并已成为中端市场和小公司的可行选择。
如果你遵循这五个最佳实践, 你的组织安全态势将在今年剩下的时间里表现得更好!
閱讀更多 智安網絡 的文章
