Mitre近期发布了D3FEND安全矩阵,帮助企业用户更好应对网络安全威胁的策略图谱,提供了网络加固、威胁检测与隔离、欺骗手段并击退来自网络的攻击者。本文重点介绍Windows系统管理员如何遵循D3FEND指南来强化他们的网络。1.应用加固MitreD3FEND推荐使用以下流程加固应用:死代码消除异常处理程序指针验证流程段执行预防段地址偏移随机化Stackframecanary验证指针认证作为大型组织的CSO,虽然可能会对企业产生影响用户的软件选择,但可能不会影响实际的软件编码。用户可以与软件供应商讨论这些概念,并向他们询问安全流程。用户可以聘请顾问审查企业内部的代码项目,以确保企业的应用程序在设计时考虑了安全性。2.凭证加固凭证加固从证书固定开始,包括端到端的证书固定和证书与公钥固定。根据Mitre的说法,这是通过将证书或公钥的可信副本与服务器相关联来实现的,从而降低了经常访问的站点受到中间人攻击的可能性。证书或公钥可以在建立可信连接后固定,或者固定到可以预加载的应用程序中,这是移动应用程序的首选方法。下一个凭证强化建议是多因素身份验证(MFA)。MFA部署可以采取令牌、密钥卡、手机应用程序或拨打指定电话号码的形式,通常需要用户识别大多数关键高风险应用程序支持的常见身份验证平台,通常这些平台包括MicrosoftAuthenticator、Google验证器应用程序,例如Duo.com或第三方平台,例如Duo.com。Yubikey等密钥卡可以提供额外级别的身份验证。如果用户使用手机和应用程序作为身份验证器,企业可能需要为员工部署商务电话或为员工报销个人电话作为身份验证设备。通常,IT部门必须使用多个电话平台测试MFA,并确保向最终用户提供明确的说明,并设置一个帮助台来处理MFA推出时的查询。一次性密码部署是另一种选择,但这需要与SIM卡交换、不安全的密码传递和其他攻击风险相平衡。我们经常看到一次性密码用于在两方之间传输文件或信息,而不是永久部署在办公环境中。强密码政策和关于强密码构成的沟通是确保网络安全的关键。仅仅使用策略组合来设置强密码策略是不够的,正确选择密码保存程序,并教育用户安全意识也很重要,以防止用户在潜在的网络钓鱼中泄露密码。3.消息强化消息强化是一种难以实施的防御技术。除非用户的行业要求加密,否则电子邮件以明文形式发送。加密通常与第三方加密消息系统一起添加。与密码一样,消息加固在实际实施中也需要对用户进行安全意识培训。传输代理身份验证的难易程度差异很大,如果用户的唯一电子邮件流依赖于Gmail或Office365等第三方邮件平台,则提供商将提供必要的DMARC、DKIM和SPF设置。如果用户在发送过程中使用的是其他邮件平台,则在SPF和DNS记录中可能会有多个设置来标识要使用的邮件平台类型。通常,用户必须查看电子邮件标头以确保设置符合预期。4.平台加固平台加固是我们在网络安全上花费大量时间和资源的地方。从磁盘加密开始,这确保了如果资产被盗,攻击者无法读取硬盘上的数据。驱动程序加载完整性检查确保设备在启动期间的完整性。如果设备需要RF屏蔽,请确保此类系统得到适当保护。TPMBootIntegrity是微软为Windows11平台力推的一项功能。正如微软指出的那样:在引导过程中,BIOS引导块(TPM安全模式下的核心信任根)测量引导组件(固件、ROM)。TPM对这些测量的组件进行散列处理,并将散列值存储在平台配置寄存器(PCR)中。在随后的启动中,这些哈希值被提供给验证器,验证器将存储的测量值与新的启动测量值进行比较。如果它们匹配,则可以确保引导程序集的完整性。结合引导加载程序身份验证,这可确保在引导过程开始之前系统不会被篡改。最后,CSO需要制定计划来管理频繁的软件变更。更换计算机系统组件上的旧软件是保持系统安全的关键方法,修补漏洞可确保攻击者无法使用持久性或特权升级来接管用户系统。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
