雖然公司企業(yè)總是希望盡可能快地找出威脅，但理想也總是那么遙不可及。平均來(lái)看，駐留時(shí)間會(huì)持續(xù)數(shù)月，網(wǎng)絡(luò)罪犯有充足的時(shí)間逡巡網(wǎng)絡(luò)，抽取有價(jià)值信息，影響公司、客戶以及雇員。

[[182868]]

如果公司沒(méi)有實(shí)時(shí)檢測(cè)能力，沒(méi)有為這些事件做好準(zhǔn)備，那他們就總會(huì)處于特別脆弱的狀態(tài)。對(duì)工具和策略進(jìn)行重新評(píng)估是個(gè)不錯(cuò)的主意。以下是一些最常見(jiàn)的風(fēng)險(xiǎn)事件和能夠幫助你成功應(yīng)對(duì)的建議：

1. 物聯(lián)網(wǎng)接入

[[182869]]

任何聯(lián)網(wǎng)設(shè)備都可成為黑客的切入點(diǎn)，隨著越來(lái)越多的公司開始使用物聯(lián)網(wǎng)設(shè)備(IoT)，他們需要準(zhǔn)備好識(shí)別新設(shè)備上的潛在攻擊。

正在實(shí)現(xiàn)IoT的公司應(yīng)考慮一下網(wǎng)絡(luò)重設(shè)計(jì)，用強(qiáng)訪問(wèn)控制將IoT設(shè)備與其他內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離?？梢圆渴甬惓z測(cè)技術(shù)，來(lái)給IoT網(wǎng)段和內(nèi)部及外部網(wǎng)絡(luò)的正常行為定個(gè)基線。該持續(xù)的監(jiān)視將有助于發(fā)現(xiàn)不正常網(wǎng)絡(luò)行為。

2. 合作伙伴

[[182870]]

塔吉特百貨的大規(guī)模數(shù)據(jù)泄露，就是黑客通過(guò)空調(diào)公司進(jìn)入網(wǎng)絡(luò)的結(jié)果。每當(dāng)公司向新廠商或合作伙伴授予網(wǎng)絡(luò)訪問(wèn)權(quán)的時(shí)候，他們都應(yīng)當(dāng)密切注意不正?；顒?dòng)。有那么幾個(gè)步驟可以有效做到這一點(diǎn)。

首先，優(yōu)先處理廠商/合作伙伴訪問(wèn)公司資源的管理和安全，勤于在合同終止時(shí)清除訪問(wèn)授權(quán)。另外，將廠商VPN訪問(wèn)限制在某已知IP段內(nèi)，并在內(nèi)部公布該IP列表。最后，部署分析工具以近實(shí)時(shí)地檢測(cè)來(lái)自這些IP地址的異常行為。此外，利用第三方安全風(fēng)險(xiǎn)評(píng)級(jí)服務(wù)(SRS)(《安全領(lǐng)域新概念：安全評(píng)級(jí)服務(wù)的興起》)不失為一個(gè)方便快捷的手段。

3. 合并與收購(gòu)

將兩個(gè)之前各自獨(dú)立的公司網(wǎng)絡(luò)合并起來(lái)是個(gè)危險(xiǎn)的活計(jì)。黑客暢游網(wǎng)絡(luò)的駐留時(shí)間可長(zhǎng)達(dá)數(shù)月。如果有黑客已經(jīng)侵占了公司A的網(wǎng)絡(luò)，通過(guò)融合，你也就給了他公司B(及并購(gòu)后的公司)的鑰匙。

事前準(zhǔn)備是規(guī)避此類場(chǎng)景的關(guān)鍵。在連接基礎(chǔ)設(shè)施之前，對(duì)每家公司的基礎(chǔ)設(shè)施都做個(gè)網(wǎng)絡(luò)和安全評(píng)估。然后，部署分析工具來(lái)對(duì)網(wǎng)絡(luò)行為定個(gè)基準(zhǔn)，盡快對(duì)合并的網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)記錄以便能監(jiān)視異常行為。

4. 新增物理位置

[[182871]]

無(wú)論是新的公司大樓，還是零售門店，或者快餐連鎖，跟著這些新位置而來(lái)的基礎(chǔ)設(shè)施，都有可能引入新的漏洞。除了添加標(biāo)準(zhǔn)控制，公司面對(duì)這種狀況還應(yīng)該考慮部署分析工具，執(zhí)行“種群分析”，以確定新位置在其網(wǎng)絡(luò)和應(yīng)用日志數(shù)據(jù)中展現(xiàn)的行為，是否異于其他地點(diǎn)的行為。

5. 修復(fù)或更新軟件

[[182872]]

復(fù)雜環(huán)境中，一個(gè)地方的改變，可能會(huì)無(wú)意地影響到其他某個(gè)地方。很多案例都顯示，這可能產(chǎn)生新的漏洞，為黑客開啟方便之門。

成功修復(fù)或更新，歸根結(jié)底是使用良好的IT規(guī)程。比如說(shuō)，確保跟IT安全團(tuán)隊(duì)溝通計(jì)劃好的升級(jí)。然后，定義升級(jí)后勤勉期，在此期間對(duì)安全日志進(jìn)行額外的詳細(xì)審查。

6. 引入新硬件

[[182873]]

這可能包含任何硬件，從服務(wù)器到新的移動(dòng)設(shè)備。每當(dāng)向網(wǎng)絡(luò)中引入新硬件時(shí)，你都會(huì)遇到很多之前不知道的東西。而未知之物，就有可能傷害到你。

確保新服務(wù)器上運(yùn)行的所有軟件都打了補(bǔ)丁，是個(gè)不錯(cuò)的實(shí)踐。檢查與該硬件或軟件相關(guān)的每個(gè)已知漏洞。與軟件升級(jí)最佳實(shí)踐類似，要跟IT安全團(tuán)隊(duì)溝通計(jì)劃硬件升級(jí)事宜。然后，創(chuàng)建升級(jí)后勤勉期，對(duì)安全日志進(jìn)行額外的詳細(xì)審查——推薦使用自動(dòng)化分析工具。

7. 員工入職

[[182874]]

很多公司都會(huì)在同一時(shí)段迎入新人，比如說(shuō)，在他們招聘并培訓(xùn)了新的大學(xué)畢業(yè)生的時(shí)候。這種情況下，他們就是在往公司網(wǎng)絡(luò)中引入帶有獨(dú)特新行為的大量新用戶，可能還有新設(shè)備。這些新用戶增加了被黑或數(shù)據(jù)被泄的機(jī)會(huì)(無(wú)論有意還是無(wú)意地)。

面對(duì)該成長(zhǎng)期的第一步，是強(qiáng)調(diào)公司策略和良好IT安全實(shí)踐。確保定期強(qiáng)化這些策略和實(shí)踐。然后，考慮部署用戶行為分析(UBA)來(lái)為新用戶建模，將他們的風(fēng)險(xiǎn)與公司其他員工組做對(duì)比。

8. 員工離職

[[182875]]

裁員、倒閉或辭職之類的事件——尤其是在非自愿的時(shí)候，可能會(huì)引發(fā)亂流，增加出自熟知公司數(shù)據(jù)、網(wǎng)絡(luò)和應(yīng)用的員工之手的惡意行為發(fā)生機(jī)會(huì)。

這些敏感時(shí)段中，企業(yè)應(yīng)強(qiáng)調(diào)身份及訪問(wèn)管理(IAM)。應(yīng)勤于清除對(duì)所有資源的訪問(wèn)權(quán)，無(wú)論是公司內(nèi)的，還是云端的。最后，定義更新后的勤勉期，使用自動(dòng)化異常檢測(cè)來(lái)執(zhí)行對(duì)安全日志的額外審查。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文