CIO 回應「網路戰爭」標題
評估和加強企業安全性
最近,美國運輸安全管理局 (TSA) CIO 表示,美國正處於一場「網路戰爭」之中。同一天,由 CISA 與 NSA 紅隊和藍隊共同發布的網路安全諮詢報告也指出,網路安全存在重大漏洞,使組織容易受到網路威脅。無論您在哪個國家/地區營運,作為企業基礎架構和資料的管理者,CIO 和 CISO 都應該仔細檢查其環境,以發現這些普遍存在的陷阱,並迅速採取行動降低風險。
驗證和授權:要避免的主要錯誤
該諮詢報告正確地指出,不當的身分識別與存取控制是一項重大的安全漏洞。許多組織經常犯下以下類型的錯誤:
未能區分使用者權限與管理員權限
實作弱或可繞過的多重要素驗證
啟用過多的非作用中工作階段逾時
依賴靜態密碼時因糟糕的密碼輪換政策而導致安全性不足
諸如此類的錯誤使攻擊者能夠在網路週邊內橫向移動並提升權限。
透過實施內容感知存取策略,安全團隊可以限制頻繁發生的認證外洩問題的影響範圍。部署合適的系統,就可以嚴格控制管理員權限,同時最大限度地減少普通員工的摩擦。
暴露於網際網路的服務:不要成為容易得手的目標
在沒有適當存取控制的情況下,透過公用網際網路為內部資��源提供服務更容易招致麻煩。簡單的設定錯誤往往會讓未經授權的使用者得以存取資料庫、檔案共用、備份系統、管理主控台及其他服務——而攻擊者總是樂於趁虛而入。
透過實施統一的外部存取和 DDoS 防護控制平面,安全團隊可以獲得一致的可見度和執行力。他們可以重新掌控控制權,並保護寶貴的資料免於窺探。
可見度和分段:威脅無法自由移動
一旦惡意程式碼或攻擊者進入網路,缺乏可見度與網段分段就會讓攻擊者能夠毫無阻礙地在網路中橫向移動。安全部門可能無法掌握不同環境(例如生產環境、暫存環境與開發環境)之間的連線情況。
將企業網路分割成包含相關資源的邏輯信任區域,讓領導者能夠限制影響範圍。同時,改進的行為分析可幫助安全團隊更輕鬆地偵測邊界內的威脅。
易受攻擊的程式碼和服務:縮小攻擊面
基本的網路安全常規措施仍然至關重要——然而,NSA 與 CISA 的警告顯示,許多組織在及時修補有漏洞的軟體等基本任務上仍面臨挑戰。現代的平台即服務解決方案能讓企業透過僅執行必要的程式碼與隔離執行環境,有效降低攻擊面。
CISO 可以透過隔離程式碼執行和減少過度暴露的服務來縮小外部攻擊面並限制遭入侵程式碼造成的潛在損害,從而減少攻擊者的機會。
前進之路:評估與補救風險
CISA 和 NSA 關注的漏洞給 CIO 和 CISO 敲響了警鐘。現在是時候徹底檢查內部和外部網路漏洞,並採取行動應對風險了。
CIO 和 CISO 可以採取以下 6 個具體步驟來補救所識別的風險:
對網路基礎架構和應用程式進行徹底的安全評估。這將幫助您識別可能被攻擊者利用的任何漏洞。
實施強大的驗證和授權控制。這包括使用防網路釣魚攻擊的多重要素驗證 (MFA)、實施基於角色的存取控制 (RBAC) 以及定期變換密碼。
將您的網路分割成多個邏輯區域。這將有助於在發生入侵時阻止惡意程式碼和其他威脅的傳播。
部署具有 DDoS 防護功能的 Web 應用程式防火牆 (WAF),以保護面向公眾的應用程式和 API 免受常見攻擊。
實作 Zero Trust 安全性模型。這代表所有使用者與裝置都必須先經過身分驗證與授權,才能獲得存取任何資源的權限。
使用像 Cloudflare 這樣具有統一控制平面的雲端安全平台來幫助您管理整個組織的安全狀態。
加強網路防禦
Cloudflare 強大的全球連通雲旨在幫助領導者全面解決許多突出的安全問題。透過利用 Cloudflare 的 Zero Trust、網路可見度和分段、保護內部應用程式和 API、減少攻擊面等功能,組織可以顯著改善混合和分散式環境中的安全狀態。
CISO 可以不再依賴孤立的單點解決方案,而是改為使用 Cloudflare 這個統一平台來保護整個企業的資產(無論是在內部還是在雲端)。作為業務關鍵型基礎架構和資料的管理者,現代 IT 領導者應謹慎評估如何才能最好地彌補安全漏洞,避免自身面臨危險。現在正是加強網路防禦的良機。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
作者
John Engates — @jengates
Cloudflare 現場技術長
重點
閱讀本文後,您將能夠瞭解:
網路戰爭影響世界各地的組織
如何仔細審查企業基礎架構和資料中的漏洞
CIO 和 CISO 可採取的六大風險補救措施