当前,加强网络安全建设已成为企业数字化转型的重要内容。鉴于网络威胁的发展日新月异,网络安全建设也需要从管理层面和技术层面共同推进。因此,网络安全主管部门有必要定期对本单位网络信息系统进行安全检查,全面了解网络安全责任落实情况、应用效果和风险状况。通过检查,组织能够更加积极地落实网络安全防护措施,持续做好网络安全建设工作,切实提高企业员工的网络安全意识和网络安全防护能力。现在已经是年中了,很多公司都会在这个时候进行定期的网络安全检查。为了取得更好的检查效果,建议安全检查活动组织者优先做好以下十个方面的工作:1.检查第三方访问和凭证策略攻击者会扫描远程桌面协议(RDP)访问权限并填充凭据等暴力攻击手段进行攻击活动。组织应该设法更好地管理对外部提供商的凭证或访问权限,因为它们的控制过程很容易被忽视。无论是在组织的多因素身份验证(MFA)程序中注册交易对手,还是通过访问和防火墙规则限制他们对特定网络的访问,组织都应该明确定义其访问和凭证的管理要求。用户凭证在分发和存储过程中应得到保护,在进行网络安全检查时需要检查和审查这些过程是否存在漏洞。2.检查安全扫描的结果许多组织进行安全扫描,需要确认扫描的结果,以确保它们是从网络威胁的角度来看的有效扫描。当组织聘请渗透测试或第三方网络风险扫描公司时,需要确保他们提供的检查结果反映了组织网络的实际范围。如果不提供可操作的信息,安全扫描就毫无价值。3.审核云资源和权限。如果组织将业务系统迁移到云端,则无法将本地系统复制到云端。安全团队需要审查云上的资源是如何创建的,当前设置的系统权限是否合理。同时,企业还需要检查哪些安全基线或安全指南可以为加强组织在云上的安全应用程序提供额外的保护。4.部署攻击面减少规则如果组织还没有为工作站和服务器部署攻击面减少规则以帮助阻止可疑的网络访问活动,则需要尽快将其列为下半年的重点工作目标.组织可以从以下规则开始,并启用尽可能多的阻止规则:?阻止活动,例如Office应用程序创建子进程、可执行内容和代码注入。?阻止来自电子邮件客户端和网络邮件的可执行内容。?阻止执行可能混淆的脚本。?阻止JavaScript或VBScript启动下载的可执行内容。?阻止从USB运行的不受信任、未签名的进程。?阻止Windows本地安全子系统(lsass.exe)的凭据窃取(权限升级)。?防止通过PSExec和WMI命令创建进程(横向移动)。5.检查网络安全设置和策略长期以来,企业主动设置的网络访问权限规则较少。您应该检查您的组织如何设置工作站安全配置,然后检查密码安全和策略,并考虑向现有活动目录添加多因素身份验证,以更好地识别网络上的弱密码。确保使用PIN、面部识别或指纹有效启用快速安全访问,或启用其他第三方MFA解决方案,并查看MFA策略选项的配置。6.检查计算设备和系统的部署过程。需要检查机构部署安装计算设备和系统的流程是否规范,确保部署系统时不使用相同的本地管理密码。一些本地管理员密码解决方案随机生成并加密本地管理员密码,您应该检查管理此类解决方案的选项是否配置正确。7、检查系统备份策略检查机构采用什么流程备份和保护重要文件,包括检查备份流程确保有多种备份方式,不同的备份应该放在不同类型的存储介质上,至少一个备份应该放在异地。组织还应该考虑使用云存储作为额外的备份方法来进一步保护重要文件。8.检查邮件系统安全面对越来越多的邮件欺诈和网络钓鱼攻击,组织需要对邮件进行过滤和扫描,以确保邮件在进入员工终端计算设备之前经过安全检查和确认。用户点击电子邮件附加链接时,应对其进行安全扫描,如果发现是恶意链接,应立即阻止访问并从员工收件箱中删除。9.检查补丁策略在处理补丁时,安全人员应该检查组织网络过去的问题。简化对边缘设备的更新,并在它们没有补丁问题时给予它们优先更新。对于有补丁问题的计算设备,检查问题的原因和打补丁可能带来的副作用,并了解需要采取的缓解措施,以尽量减少打补丁的副作用。10.检查端点设备以防止勒索软件攻击随着勒索软件攻击威胁的加剧,安全专业人员应确保防病毒和端点检测解决方案能够识别勒索软件攻击的典型症状。当文件备份突然被删除,或者网络上发生CobaltStrike活动和其他可疑活动时,端点安全解决方案应该能够在攻击者开始勒索活动之前提醒他们。
