2022年防止网络攻击的15个网络安全实践，你学会了吗？

组织敏感数据安全吗？

毫不夸张：任何公司都可能成为网络犯罪的受害者。铺天盖地的网络攻击报告告诉我们网络攻击广泛分布在政府组织、教育和卫健、银行、非营利组织和许多其他实体。对组织来说，黑客、内部威胁、勒索软件和其他危险可谓无处不在。

攻击者不断寻找获取敏感数据的新方法，因此威胁检测变得更具挑战性。更重要的是，随着最近远程工作的趋势以及向众多员工授予特权访问权限，特权用户和远程用户现在是最重要的内部参与者之一。

不同的网络安全公司，经常会给出不同的最佳实践，下面我们看看国外安全网站Ekran给出的15条网络安全实践，与其他安全机构异同点：

15 大网络安全最佳实践
提高网络安全意识	·         1. 采用以人为本的安全方法 ·         2. 降低员工疏忽程度 ·         3. 告知员工常见的网络钓鱼技术
保护对关键资产的访问	·         4. 保护远程设备的访问 ·         5. 安全处理密码 ·         6. 使用最小权限原则
保护敏感数据	·         7. 关注特权用户 ·         8. 监控第三方对数据的访问 ·         9. 备份敏感数据
建立健全的网络安全政策和受保护的网络	·         10. 形成分级网络安全政策 ·         11. 确保物联网安全并保护企业网络 ·         12. 定期进行网络安全审计 ·         13. 简化技术基础设施
通过有效的身份管理保护访问	·         14. 采用生物识别安全 ·         15. 使用多因素身份验证

提高网络安全意识

第一条建议实际上是关于与所有员工建立有效沟通的能力，以及对他们进行可能的网络安全威胁和缓解方法的教育。 

1. 采用以人为本的安全方法

人可能是最大的安全风险，也可能是最强大的安全防御。 

如今，以技术为中心的网络安全方法不足以确保全方位保护，因为黑客经常以人为切入点。这就是为什么最好使用以人为本的方法来减轻与人相关的风险。 

在以人为本的 安全中，一个重要的边界是工人自己。组织通过以下方式赋予员工采取安全措施、处理信息和使用设备的自主权： 

• 让他们对所使用的公司数据的安全性负责

尽管如此，仍需要确保所有员工都遵循安全策略推荐的网络安全实践。

了解员工对网络安全的重要性以及他们可能带来的危险至关重要。为了完成对网络环境的防御，教育和监控员工是要考虑的两个主要事项。

2. 降低员工疏忽程度

帮助员工了解为什么遵守网络安全规则至关重要。

根据《2022年Ponemon内部威胁全球成本报告》，去年有62%的内部数据泄露事件是由员工错误或疏忽造成的。

处理员工疏忽和安全错误的可靠方法是教育员工为什么遵守网络安全规则很重要：

• 提高对贵公司面临的网络威胁以及它们如何影响利润的认识。
• 向员工解释每项计算机安全措施的重要性（仅安装受信任的应用程序，保护端点免受恶意软件的侵害）。
• 展示现实生活中的安全漏洞、其后果以及恢复过程的难度的示例。
• 询问员工有关当前公司安全系统的反馈（如何将强大的安全性与高效的工作流程相结合）。

可以参照所在国家和地区有关网络安全的要求和建议，请注意，不同国家和地区的要求和建议可能有所不同。在我国则以网络安全等级保护中的有关要求作为最佳参考。

将员工视为防御的一部分，会减少疏忽和错误的情况发生。在适当的培训中向员工传授网络安全最佳实践要比处理由意外行为引起的数据泄露要好得多。

3. 培训员工常见的网络钓鱼技术

培训员工如何避免黑客的诱饵，防止网络安全钓鱼。

网络攻击者经常使用网络钓鱼技术来获取员工的凭证并用恶意软件感染组织的系统，或者获取员工的财务信息。

根据Identity Theft Resource Center 的一份报告，网络钓鱼及其变体，如 smishing 和企业电子邮件泄露 (BEC) 是 2021 年最常见的网络攻击类型。 

Smishing或 SMS 钓鱼是指通过短信或 SMS 将恶意链接发送到移动设备。通过这种方式，攻击者试图收集有价值的机密信息，例如信用卡或社会安全号码（欧美的唯一身份证明的一种形式）。 

BEC是一种复杂的电子邮件骗局，黑客试图让电子邮件收件人披露有关其公司、技术和数据的秘密信息，甚至诱骗受害者向他们汇款。主要目标是处理电汇的员工和国际合作伙伴。

对网络钓鱼的基本防御非常简单，包括两个关键步骤：

• 获取正确配置的垃圾邮件过滤器，并确保始终阻止最明显的垃圾邮件。
• 教育员工了解流行的网络钓鱼技术以及发现它们的最佳方法。

在国外，可以在US-CERT 网站上找到有关网络钓鱼的更多信息。国内我们有国家反诈骗app，是一个不错的选择。

随着攻击者发明新方法来欺骗受害者并获得他们想要的东西，网络钓鱼越来越受欢迎。不要犹豫，使用垃圾邮件过滤器防止网络钓鱼、网络钓鱼和 BEC 攻击，并向员工展示现代检测技术。实施的一些技术解决方案可以帮助员工参与保护数据。

确保员工培训课程涵盖企业网络安全风险的所有方面，包括网络钓鱼、恶意软件和远程工作。以人为本的方法不仅必须包括提高员工的意识，还必须包括以最小权限原则进行有效的访问管理。

保护对关键资产的访问

仔细考虑：组织中有多少人可以访问最关键的数据，他们何时可以访问，以及以何种方式访问？如果不知道这些问题的确切答案，那么是时候审查组织访问管理实践了，尤其是在应对最近的全球变化时。

4. 保护远程设备的访问

确保对任何类型的用户进行访问管理。

确保从任何位置和设备访问您的敏感数据至关重要。如今，远程工作人员以及使用自己设备的员工在组织的安全中发挥着比以往任何时候都更加重要的作用。 

根据Bitglass的2021年BYOD安全报告，在2021年4月接受调查的271个组织中，有 82% 已积极采用自带设备 (BYOD) 方法。同时，安全问题是采用 BYOD 的最大障碍之一。

要保护远程设备的访问，请采取以下措施： 

• 对员工的安全培训可以降低与新的“随时随地工作”方法相关的风险。教导员工不要让任何人访问他们的计算机和任何公司信息。此外，员工应了解确保工作场所安全和终止对公司网络的访问的重要性。
• 拥有一个全面的技术解决方案至关重要，该解决方案将监控用户活动并为所有需要它的用户提供对关键资产的安全访问，无论他们身在何处。为您的远程员工启用 VPN服务也是一个不错的决定。但要小心，因为某些 VPN 服务可能不安全。

无论员工是在本地工作、在家工作还是自带设备，都需要让他们的所有会话完全可见，以防止恶意或疏忽。尽管现代技术使可见性成为可能，但不要忘记员工的安全知识。

5. 安全处理密码

为什么深思熟虑的密码和安全的密码处理很重要？

特权账户对于试图访问敏感数据和有价值的商业信息的网络犯罪分子来说是宝藏。密码管理是企业安全的关键部分，尤其是在特权访问管理 (PAM) 方面。

2021 年发生了有史以来最大的在线电子邮件和密码泄露事件：在线黑客论坛 Compilation of Many Breaches 发布了 32.7 亿对凭证。这个开放的数据库包括许多过去泄露的 LinkedIn、Netflix、比特币、Exploit.in、雅虎、Gmail、Hotmail 和其他服务的密码。许多漏洞汇编表明了密码管理和定期更改密码的重要性。

确保适当安全性的最佳方法是使用专用工具，例如密码库和PAM 解决方案。这样，可以防止未经授权的用户访问特权账户，同时简化员工的密码管理。

以下是为员工创建密码要求时应考虑的主要提示：

• 一个账户使用一个密码。
• 使用令人难忘的短语而不是随机字符的短字符串。
• 使用助记符或其他策略来记住长密码。

请勿彼此共享凭据。

定期更换密码。

国家网络安全和通信集成中心为选择和保护强密码创建了一套网络安全建议。

在企业安全方面，特权访问管理是一种保护访问和监视特权用户会话的综合方法，同时启用自动密码轮换，从而简化使用凭据的工作。访问管理

6. 使用最小权限原则 

请注意有太多用户访问数据。

默认情况下，授予新员工所有权限允许他们访问敏感数据，即使他们不需要。这种方法增加了内部威胁的风险，并允许黑客在单个员工账户遭到破坏后立即访问敏感数据。

根据Verizon的2021 年数据泄露调查报告，特权滥用是数据泄露的主要原因。

一个更好的解决方案是使用最小特权 (POLP) 原则。

换句话说，为每个新账户分配尽可能少的权限，并在必要时升级权限。当不再需要访问敏感数据时，应立即撤销所有相应的权限。 

持续的权限管理可能既困难又耗时，尤其是对于大公司而言。但是有很多访问管理解决方案可以使它变得更容易。

特别是，需要处理不受控制的特权时，专门的PAM 解决方案可以证明是救命稻草。例如，可以使用即时特权访问管理 (JIT PAM)方法为员工提供对敏感数据的特权访问，仅当他们确实需要时，并且仅在特定时间和特定资产内使用。JIT PAM 允许管理提升的权限并仅授予对敏感数据的临时访问权限。

最小特权原则类似于零信任安全模型，它也旨在通过显著减少无根据的信任来降低内部威胁的风险。零信任表示仅授予那些已经在系统中进行身份验证和验证的用户和设备的访问权限。

总而言之，可以同时使用这三种方法或交替使用这三种方法，以确保始终只向组织的正确用户授予特权访问权限：

保护对最重要系统的访问意味着您知道谁打算在什么时间以及出于什么原因访问它们。了解为账户创建密码的原则对普通员工有好处。应用最小特权原则，需要密切关注特权用户和第三方供应商。

可以通过定期备份和密切监控与关键资源相关的所有活动以及及时通知和详细报告来处理公司数据的安全性。因此，您可以降低数据被盗、被泄露或消失的风险。

7. 关注特权用户

通过四个简单的步骤最大限度地减少特权滥用。

特权用户拥有所有必要的手段来窃取敏感数据并被忽视。即使信任用户并且他们不打算进行恶意行为，他们的行为也可能无意中导致泄密，或者黑客可以侵入他们的账户。

根据Cybersecurity Insiders的 2021 年内部威胁报告，许多组织比其他账户（在接受调查的组织中占 61%）、应用程序、设备和文档更密切地监控特权账户，这并不奇怪。

如何将与特权账户相关的风险降至最低？一方面控制访问敏感数据的用户和账户，另一方面通过威胁预防监控其活动。数据？

8. 监控第三方对数据的访问

确切地知道谁连接到您的网络以及为什么。

第三方参与者（供应商、合作伙伴和承包商）是可以访问组织资源的用户，他们很容易成为供应链攻击的受害者。根据ITRC 报告，自 2017 年以来，在供应链攻击中受第三方影响的组织数量增长了近五倍。

保护敏感数据免受合作伙伴访问的破坏的一个好方法是监控第三方行为。应使用用户活动监控 和记录来提供所有用户操作的完整记录，以便可以检测恶意活动并在必要时进行审计和调查。

第三方访问不仅会带来更高的内部攻击风险，还会为恶意软件和黑客进入您的系统开辟道路。有必要通过以下方式限制他们的访问：

第三方访问限制和第三方活动监控都可以显著降低网络环境中供应链攻击、黑客和恶意软件的风险。

9. 备份敏感数据

通过定期备份数据来确保数据的安全性。

随着勒索软件的出现，对所有数据进行完整和当前的备份可以成为救命稻草。备份数据是近年来越来越重要的信息安全最佳实践之一。 

勒索软件在2021年网络攻击的主要形式中位居网络钓鱼之后的第二位，以目前的增长速度，勒索软件在 2022 年很容易超过网络钓鱼；在过去两年中，勒索软件攻击数量每年都翻了一番。在勒索软件攻击中，数据被加密，因此用户在获得特殊密钥以换取支付赎金之前无法访问它。

除了勒索软件，如果数据仅存储在一个地方，则可能发生任何类型的数据丢失。数据丢失可能是由于设备故障、云存储损坏、误删除和其他因素造成的。 

如何处理备份？

确保备份得到彻底保护、加密并经常更新。将备份职责分配给几个人以减轻内部威胁也很重要。

强大的后备策略还意味着能够应对事故。不要只依赖在线备份，也不要为生产环境和备份使用相同的密码。相反，将备份存储在离线端点上并管理对它们的特权访问。

TechTarget 提供了有关创建数据备份策略的综合指南。美国FBI发布了关于勒索软件数字防御的出色新闻稿，以及CISA对节假日和周末勒索软件意识的重大警报。

开始进行安全和定期备份。如果这样做，攻击者将无法访问备份系统并阻止业务在灾难后恢复。

首先，定期备份数据。其次，请始终牢记，数据每天被数十或数百名员工和合作伙伴使用，而且他们都只是人类。可以采用第三方安全监控和特权用户监控解决方案简化控制其行为的过程，以免恶意软件进入或数据流出。

监控技术应该涵盖在线和离线员工以及特权用户，并且应该定期进行审计。在下一节中了解有关进行审计和其他重要提示以加强组织的网络安全的更多信息。

建立健全的网络安全策略和受保护的网络

创建或改进网络策略和网络环境是非常重要的，无论使用多少设备、应用程序和服务器，都没有理由让繁重而复杂的基础设施减慢流程。 

10. 形成分级网络安全政策

为什么书面网络安全策略如此重要？

首先，书面策略可作为贵公司使用的所有网络安全措施的正式指南。允许安全专家和员工在同一页面上，并提供一种方法来执行保护数据的规则。然而，每个部门的工作流程都是独一无二的，很容易被不必要的网络安全方法和措施打乱。

其次，虽然集中的安全策略可以作为整个公司的基本指导方针，但它不应该涵盖每个部门的每个流程。相反，允许每个部门应根据中心策略创建自己的安全策略。

以这种分层方式安全策略有很多好处。通过这样做可以考虑每个部门的需求，并确保其工作流程和底线不会以安全的名义受到损害。

如果想了解如何预防、检测和补救内部攻击，还应该考虑构建内部威胁程序。践

11. 管理物联网安全并保护企业网络

物联网年复一年地越来越受欢迎。

物联网设备最具挑战性的事情是限制它们对敏感信息的访问。要正确管理这些设备，请考虑实施 IoT 网络安全最佳实践。

Markets and Markets 预测，物联网 (IoT)市场将从 2021 年的约 3840 亿美元增长到 2027 年的约 5670 亿美元。但无论我们多么想实施新技术，安全始终是第一位的。

安全摄像头、门铃、智能门锁、供暖系统、办公设备——所有这些业务网络的小部分都是潜在的攻击媒介。例如，受感染的打印机可以允许恶意行为者查看所有正在打印或扫描的文档。 

以下是一些确保数据安全的企业安全最佳实践：

• 进行渗透测试以了解设备被入侵的真正风险，并相应地规划安全策略。
• 为静态和传输中的数据提供加密（端到端加密）。
• 确保正确的身份验证仅允许受信任到端点的连接。
• 不要使用默认和硬编码的凭据
• 购买安全且最新的路由器并启用防火墙。
• 开发可扩展的安全框架以支持所有物联网部署。
• 考虑实施端点安全解决方案。
• 实施这些规则以保护公司和物联网网络，可以有效的提升防护能力。

12. 定期进行网络安全审计 

始终掌握网络安全的脉搏。

及时分析员工、特权用户或第三方供应商的奇怪行为或动作是及时处理突发事件的关键。这是需要审计跟踪的原因：

审计的质量取决于以不同方式收集或在各种来源中找到的数据的完整性：审计日志、会话记录、元数据。

根据Cybersecurity Insiders的内部威胁报告中报告的2021年调查，组织从服务器日志中获取了高达 40% 的用户行为数据，通过用户和实体行为分析 (UEBA) 获得另外 30% 的数据。

详细的安全日志提供有关最终用户和特权用户活动的信息：活动元数据、屏幕截图和其他详细信息。此信息可帮助我们对安全事件进行根本原因分析并确定网络安全中的薄弱环节。

关于某些类型的操作、事件、用户等的自动报告有助于显著加快和简化审计。

13. 简化基础设施技术

太多的网络安全工具会使检测威胁变得困难。

如果组织的网络安全基础设施旨在降低数据泄露的风险，那么它不应该包含太多的部分，并且应该在不同的解决方案之间进行划分。

部署大量专用安全工具有几个缺点：

• 在复杂的基础架构中部署和处理大量解决方案可能会很昂贵。
• 复杂的技术解决方案会使适当的安全管理复杂化。
• 资源要求高的软件会减慢其他进程的工作。

市场上的一些 IT 系统可能看起来很简单，但实际上很复杂。考虑一个包含所有必要功能的综合解决方案。这样，将精简和简化安全基础架构。

网络安全技术解决方案最好是：如果还想降低成本和响应时间，请确保解决方案与需要的所有工具集成：活动监控、威胁检测和预防、分析和访问管理。 

一个很好的选择是实施与集中式安全信息和事件管理(SIEM)功能集成的软件。SIEM 功能可帮助我们在一处收集所有安全数据并查看完整的网络安全情况。这点与我们在等级保护中要求的安全管理中心非常相似。

从正确的网络安全管理开始，并继续确保所有网络安全。实时事件响应和审计对于发现欺诈活动也很重要。不要忘记我们之前的提示，因为如果没有备份策略和风险管理，分层网络安全策略将是不完整的。顺便说一句，UEBA 可以协助用户行为审计和生物识别安全。

通过有效的身份管理保护访问

保护用户的登录名和凭据不仅应包括确保密码安全，还应包括实施多因素身份验证和生物识别安全。确保只有具有适当权限的用户才能访问关键资产。

14. 采用生物识别安全

生物识别技术确保快速身份验证、安全访问管理和精确的员工监控。

语音识别、指纹扫描、手掌和行为生物识别、面部识别和步态分析是识别用户是否是他们声称的身份的完美选择。在提供对有价值资产的访问之前验证用户的身份对业务至关重要。

生物识别技术提供比密码和 SMS 验证更可靠的身份验证。这就是为什么生物识别已经成为多因素身份验证的重要组成部分。

然而，身份验证并不是生物识别技术的唯一用途。安全官员受益于广泛的生物识别驱动工具，使他们能够实时检测受损的特权账户。

行为生物识别分析用户与输入设备交互的方式。如果检测到异常行为，工具会向安全人员发送警告，以便他们立即做出反应。

以下是 UEBA 系统可以使用的几种行为生物特征：

• 击键动态——考虑打字速度和在某些单词中犯典型错误的倾向，以创建用户行为档案
• 鼠标动态——跟踪点击之间的时间以及光标移动的速度、节奏和风格
• 眼球运动生物识别技术——使用眼球和注视跟踪设备记录眼球运动视频并检测独特的模式

根据Techsci Research 2021 报告，2020 年全球生物识别市场价值超过 330 亿美元。到 2026 年，预计将增长到超过 840 亿美元。根据Research Dive Global Forecast, 2021-2028，预计到 2028 年将超过 1050 亿美元。

因此，密切关注生物识别安全技术，并选择最适合的技术。

15.使用多因素身份验证

多因素身份验证 (MFA) 是高级安全策略的必要条件。

MFA 通过添加额外的安全层来帮助我们保护敏感数据，使恶意行为者几乎没有机会登录。即使恶意行为者知道了密码，仍然需要第二个甚至第三个身份验证“因素”，例如安全令牌、手机、指纹或您的声音。

尽管它是一个基本的实现，但 MFA 仍然属于网络安全的最佳实践之一。它非常有效，以至于谷歌和 Twitter 等科技巨头推动他们的用户采用它。此外，一位微软安全经理表示，使用多因素身份验证意味着用户账户受到 99.9% 以上的保护，免受黑客攻击。对于我们来说，我国实行的网络安全等级保护，则要求实现双因素认证，而双因素认证的安全性是国际通用做法。

在当今的黑客攻击水平下，仅使用一个级别的用户身份验证并不是一个好的决定，尤其是对于大公司而言，建议通过一切手段确保安全身份验证。

许多信息安全建议是相互关联的。虽然网络安全策略和员工指南的内容取决于组织决策，配置所有必要的监控和审计、密码管理、事件警报和需要的响应工具。意味着需要寻找系统的现代网络安全最佳实践。