CIO 对“网络战争”头条的回应
评估并加强企业安全
最近,美国联邦运输安全管理局 (TSA) CIO 表示,美国正处于一场“网络战”。同一天,CISA 以及 NSA 红蓝队发布的一份网络安全公告凸显了重大的网络安全漏洞,这些漏洞导致企业容易受到网络威胁攻击。无论企业在哪个国家/地区运营,作为企业基础设施和数据的管理员,CIO 和 CISO 现在都应该仔细检查环境中是否存在这些普遍的陷阱,并立即采取行动来降低风险。
身份验证和授权:要避免的重大错误
公告理由充分地指出,不当的身份和访问控制是一个关键风险。企业经常会犯以下错误:
未能将用户权限与管理员权限区分开来
实施较弱或可绕过的多因素身份验证
启用过多的非活动会话超时
依赖静态密码,采用不完善的密码轮换策略
类似这样的错误让攻击者能够横向移动,并在进入网络边界后提升权限。
通过实施上下文感知的访问策略,安全团队可以限制频繁发生的凭据泄露问题的影响范围。部署适当的系统后,可以严格控制管理员权限,同时最大限度地减少普通员工的摩擦。
暴露在互联网上的服务:切勿轻信
在没有实施充分的访问控制措施情况下通过公共互联网提供内部资源,这将造成重大安全风险。简单的配�置错误通常会导致未经授权访问数据库、文件共享、备份系统、管理控制台和其他服务,而攻击者也迫不及待地想要利用这一点。
通过采用统一的控制平面来实施外部访问控制和 DDoS 防护,安全团队可以获得一致的可见性和策略执行。他们可以重获控制权,保护宝贵的数据免遭窥探。
可见性与网络分段:威胁无法自由移动
一旦恶意代码或攻击者渗透到网络中,缺乏可见性和网络分段措施会导致不受限制的横向移动。安全人员可能看不到生产、暂存和开发等不同环境之间的连接。
将企业网络划分为包含相关资源的逻辑信任域,可以帮助安全领导者限制威胁的影响范围。同时,改进的行为分析功能有助于安全团队更轻松地检测边界内的威胁。
易受攻击的代码和服务:缩小攻击面
基本的网络安全防护依然重要,但 NSA 和 CISA 的警告表明,企业仍然难以完成及时修补易受攻击的软件等任务。现代平台即服务 (PaaS) 产品让企业可以通过仅运行所需代码并隔离代码执行来缩小攻击面。
CISO 可以通过隔离代码执行和减少过度暴露的服务,缩小外部攻击面并限制受感染代码造成的潜在损害,从而抑制攻击者发起攻击的机会。
出路:评估并补救风险
CISA 和 NSA 重点关注的漏洞给 CIO 和 CISO 敲响了警钟。现在是时候彻底检查内部和外部网络暴露情况,并采取行动化解风险。
CIO 和 CISO 可以采取以下 6 个具体步骤来补救已识别的风险:
对网络基础设施和应用进行全面的安全评估。这将有助于识别可能被攻击者利用的漏洞。
实施强大的身份验证和授权控制措施。这包括使用防网络钓鱼的多因素身份验证 (MFA)、强制执行基于角色的访问控制,以及定期更换密码。
将网络划分为逻辑区域。这将有助于在发生数据泄露事件时,遏制恶意软件和其他威胁的传播。
部署具有 DDoS 防护功能的 Web 应用防火墙 (WAF),保护面向公众的应用和 API,以抵御常见攻击。
实施 Zero Trust 安全模型。也就是说,所有用户和设备都必须进行身份验证并��获得授权,然后才会被授予访问资源的权限。
使用提供统一的控制平面的云安全平台(例如 Cloudflare),帮助您管理整个企业的安全态势。
加强网络防御
Cloudflare 全球连通云是一款专门构建的强大解决方案,旨在帮助安全领导者全面解决许多突出的安全问题。通过利用 Cloudflare 平台提供的 Zero Trust、网络可见性和分段、保护内部应用和 API、减少攻击面等功能,企业可以显著改善混合和分布式环境中的安全态势。
CISO 可以转为采用 Cloudflare 作为保护整个企业(包括本地和云端)的平台,而不是依赖于孤立的单点解决方案。作为业务关键型基础设施和数据的管理员,现代化 IT 领导者应谨慎评估如何以最优方式弥补安全漏洞,避免企业面临数据泄露的危险。现在正是加强网络防御的最佳时机。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
作者
John Engates - @jengates
Cloudflare 现场首席技术官
关键要点
阅读本文后,您将能够了解:
网络战对世界各地企业的影响
如何仔细检查企业基础设施和数据中的漏洞
CIO 和 CISO 可采取的 6 项风险补救措施