本文從識別端點開始，直至實施 EDR 解決方案，為你整理出了便于 IT 和安全專業(yè)人員掌握的 10 項端點安全加固的必備技巧。

在當(dāng)今的數(shù)字世界中，可謂一切源于連接，而連接的端點則是企業(yè)進(jìn)入數(shù)字王國的門戶。正因為如此，各個端點便成為了黑客最喜歡攻擊的目標(biāo)之一。

根據(jù) IDC 的數(shù)統(tǒng)計據(jù)，70% 的成功入侵都是從端點開始的。那些未受保護的端點往往為破壞性的網(wǎng)絡(luò)攻擊提供了脆弱的切入點。然而，由于企業(yè) IT 團隊需要保護的端點數(shù)量和種類，比以往任何時候都更加繁雜。因此，針對端點的防御也就更具挑戰(zhàn)性。

下面，我為你整理出了便于 IT 和安全專業(yè)人員掌握的 10 項端點安全加固的必備技巧。我們將從識別端點開始探討，直至實施 EDR 解決方案，讓你更有信心地保護自己所管轄的各個端點。

1.識別和了解你的端點

了解網(wǎng)絡(luò)端點的過程就像是為網(wǎng)絡(luò)安全戰(zhàn)略繪制地圖，我們首先要清點所有可能成為網(wǎng)絡(luò)威脅攻擊的端點。也就是說，我們需要徹底清查并根據(jù)端點的敏感性和關(guān)鍵性，對其進(jìn)行合理的分類。這將有助于調(diào)整防御措施，以修補與各臺設(shè)備相關(guān)的特定安全漏洞。

專業(yè)提示：

• 利用資產(chǎn)管理工具維護所有端點的最新清單。
• 根據(jù)端點的功能和對組織的重要性，對端點進(jìn)行分類。
• 優(yōu)先實施針對關(guān)鍵性端點的安全措施。

2.制定積極主動的補丁策略

定期更新操作系統(tǒng)和應(yīng)用程序可謂端點安全的基石。只有制定積極主動的補丁管理策略，我們才能確保及時處理已知的漏洞，降低被網(wǎng)絡(luò)犯罪分子利用的風(fēng)險。同時，通過建立自動化的補丁管理系統(tǒng)，我們也能夠有效地防止可能危及敏感數(shù)據(jù)、或造成運營中斷的潛在事件的發(fā)生。

專業(yè)提示：

• 利用自動化補丁管理工具簡化更新，或依賴安全托管方案，來減輕團隊的日常維護任務(wù)量。
• 根據(jù)補丁的嚴(yán)重性和潛在影響，來確定補丁的優(yōu)先級。
• 在非生產(chǎn)環(huán)境中先測試更新，再廣泛地推廣到生產(chǎn)環(huán)境中。
• 將補丁安裝安排在非業(yè)務(wù)高峰時段，以盡量減少運營的中斷。

3.利用 MFA 增加一層防御

多因素身份驗證（MFA）的實施，可以防止網(wǎng)絡(luò)犯罪分子對端點進(jìn)行未經(jīng)授權(quán)的訪問。也就是說，通過要求用戶提供多種形式的身份驗證要素，如：密碼、安全令牌或面部識別等，我們可以大幅提高端點的安全性。

為此，我們應(yīng)鼓勵用戶在所有的設(shè)備上采用 MFA，以加強并維護身份驗證機制。同時，我們也要讓他們了解到該機制的重要性，以及即使網(wǎng)絡(luò)犯罪分子獲取了他們的登錄密碼，該機制仍可起到一定的威懾與補償作用。

專業(yè)提示：

• 為所有的用戶賬戶，尤其是那些可訪問敏感信息的用戶賬戶啟用 MFA。
• 定期審核 MFA 的設(shè)置，以確保其持續(xù)有效。
• 將 MFA 與單點登錄聯(lián)合使用，實現(xiàn)在便利性和安全性之間取得平衡。

4.奉行最小特權(quán)原則

最小權(quán)限原則的工作原理是：只允許用戶、程序或進(jìn)程擁有夠用的訪問權(quán)限，以執(zhí)行其基本功能。遵守該原則可以幫助你在安全性和功能性之間取得適當(dāng)?shù)钠胶?。也就是說，通過將用戶訪問的權(quán)限限制在其角色所需的最低限度，我們可以降低端點被未經(jīng)授權(quán)訪問的風(fēng)險。當(dāng)然，我們需要確保定期審查各項訪問權(quán)限，才能在不妨礙日常操作的情況下維護安全性。

專業(yè)提示：

• 審核用戶、程序或進(jìn)程的訪問權(quán)限，以識別并盡量減少不必要的權(quán)限。
• 使用基于角色的訪問控制，使得人員權(quán)限與工作職責(zé)相一致。
• 建立定期審查制度，讓最小特權(quán)原則能夠長期有效。

5.提升端點的防御層級

不知你是否聽說過“縱深防御”的概念。就像打造一座有多層防御的堡壘那樣，它會將防火墻、防病毒軟件、端點檢測和響應(yīng)、以及入侵檢測結(jié)合起來，為端點和更廣泛的網(wǎng)絡(luò)創(chuàng)建出強大的安全態(tài)勢。這種方法可以確保即使某一層級的防護被攻破，其他層級仍能保持應(yīng)有的功效，從而提供全面的防御，以抵御黑客的各種攻擊。

專業(yè)提示：

• 深度防御通常涉及到物理安全控制、技術(shù)安全控制、以及管理安全控制的組合。
• 在構(gòu)建層級時，應(yīng)查找系統(tǒng)組件之間的管控縫隙，以免黑客乘虛而入。
• 可考慮采用托管網(wǎng)絡(luò)安全的解決方案，來部署和管理多層防御。

6.優(yōu)先考慮端點的實時可見性

據(jù)統(tǒng)計，目前全球系統(tǒng)宕機時間的中位數(shù)為 16 天。這意味著攻擊者可能在目標(biāo)環(huán)境中駐留兩周半后才會被發(fā)現(xiàn)。

我們都知道，若要及早發(fā)現(xiàn)潛在的安全事件，檢測的速度和精度都是至關(guān)重要的。而要想抓緊時間，最好的辦法就是實施可提供實時監(jiān)控和遙測功能的端點安全解決方案。

通過實時遙測技術(shù)，我們可以深入洞察所有端點的狀況和行為，以及在這些端點上正在發(fā)生的各項活動?？梢?，這種可視性將有助于我們降低盲點出現(xiàn)的風(fēng)險，檢測異常模式和行為，并及時捕捉到那些已成功繞過防御方案（如：防病毒和防火墻）的攻擊。而且，它還可以針對潛在的安全事件發(fā)出預(yù)警。

專業(yè)提示：

• 實施具有實時監(jiān)控功能的安全工具或托管方案。
• 設(shè)置預(yù)警，以便在檢測到可疑活動和異常情況時觸發(fā)警報，或者直接尋求安全運營中心（SOC）的支持方案，以實施自動化干預(yù)。
• 定期分析遙測數(shù)據(jù)，通過趨勢來增強威脅檢測的能力。

7.實施 EDR 解決方案

既然端點是網(wǎng)絡(luò)攻擊的新戰(zhàn)場，那么你就需要具備檢測已知和未知威脅的能力，并對其做出快速有效的響應(yīng)。而端點檢測和響應(yīng) (EDR) 解決方案恰好能在此方面發(fā)揮作用。它能夠提供端點級別的實時監(jiān)控和威脅檢測，使 IT 團隊能夠在檢測到可疑活動時迅速做出反應(yīng)。

也就是說， EDR 解決方案通過對網(wǎng)絡(luò)威脅進(jìn)行持續(xù)監(jiān)控、檢測、調(diào)查和響應(yīng)，以增強端點的防御能力，并提供諸如：攻擊相關(guān)的人員、內(nèi)容、地點、時間和方式等實用的背景信息。這便是 EDR 有別于防病毒、防火墻或其他預(yù)防性解決方案的真正原因，也是它成為任何安全棧中的補充層級的原因。

專業(yè)提示：

• 在選擇EDR解決方案時，請嚴(yán)格參考你的具體需求和預(yù)算。
• 在部署EDR 解決方案實現(xiàn)實時檢測和預(yù)警時，應(yīng)考慮是否能與其他工具配合使用。
• EDR解決方案不是“開箱即用”的產(chǎn)品，應(yīng)考慮自身是否具備獨立管理該方案的技能和能力。
• 評估非托管和托管式的 EDR 方式，哪個更適合。

8.制定明確的 BYOD 政策

作為自帶設(shè)備的縮寫，BYOD 政策允許企業(yè)員工將自己的電腦、智能手機或其他設(shè)備用于工作目的。不過，隨著員工將自己的個人設(shè)備帶入工作場所，這就意味著有更多的端點需要保護，也就有更多的潛在攻擊入口需要抵御。為了降低潛在的風(fēng)險，我們可以通過定義明確的 BYOD 政策，在保持個人設(shè)備使用的靈活性和便利性的同時，遵循并執(zhí)行個人設(shè)備的使用指南，以確保設(shè)備持續(xù)符合企業(yè)的安全標(biāo)準(zhǔn)，并受到定期的合理化監(jiān)控。

專業(yè)提示：

• 制定全面的 BYOD 政策，重點概述工作場所內(nèi)個人設(shè)備的安全使用與要求。
• 通過移動設(shè)備管理 (MDM) 工具，來協(xié)助執(zhí)行相關(guān)政策。
• 定期審核 BYOD 相關(guān)設(shè)備的合規(guī)性和安全性。

9.定期開展網(wǎng)絡(luò)安全培訓(xùn)，增強第一道防線

實際上，用戶和員工才是任何組織的第一道防線。定期的網(wǎng)絡(luò)安全培訓(xùn)課程，可以讓他們了解值得注意的威脅，并掌握各種保護端點的最佳實踐。安全意識培訓(xùn)計劃是一個持續(xù)教育的過程，我們可以通過創(chuàng)建輕松意識文化，來幫助員工學(xué)會如何識別和報告潛在的安全威脅。而通過將員工轉(zhuǎn)變?yōu)榘踩ぷ鞯姆e極參與者，你便可以加強端點安全防御的人性化元素。

專業(yè)提示：

• 定期對所有員工進(jìn)行安全意識培訓(xùn)。
• 提供關(guān)于識別和報告安全事件的明確指南。
• 通過網(wǎng)絡(luò)釣魚模擬等方式，對員工的意識進(jìn)行測試，以檢驗培訓(xùn)的有效性，或了解哪些用戶需要更多的教育。
• 培養(yǎng)持續(xù)學(xué)習(xí)的文化，并能根據(jù)威脅的不斷演進(jìn)，去調(diào)整培訓(xùn)內(nèi)容。

10.定期進(jìn)行風(fēng)險評估和審計

我們可以將風(fēng)險評估和審計視為一種特殊的網(wǎng)絡(luò)安全體檢?？梢哉f，定期進(jìn)行評估對于檢查端點安全措施的有效性，以及建立良好的安全態(tài)勢都是至關(guān)重要的。通過評估，我們可以找出潛在的薄弱環(huán)節(jié)和需要改進(jìn)的地方，而審計則可以確保符合安全策略。只有貫徹了此類持續(xù)改進(jìn)的檢驗周期，我們才能根據(jù)發(fā)現(xiàn)去調(diào)整策略，以保持端點安全的穩(wěn)固性和有效性。

專業(yè)提示：

• 通過定期風(fēng)險評估，來驗證端點安全、網(wǎng)絡(luò)安全、以及事件響應(yīng)等措施的有效性。
• 對端點的安全策略、配置、以及用戶的合規(guī)性進(jìn)行全面審核。
• 建立反饋回路，根據(jù)評估和審計結(jié)果實施改進(jìn)。

綜上所述，上面給大家提供的雖然不是一份包羅萬象的清單，但是它足以為你的端點安全奠定堅實的基礎(chǔ)。通過將上述方面納入安全策略，你將能夠創(chuàng)建一套靈活應(yīng)變防御措施，讓你的企業(yè)能夠自信地應(yīng)對當(dāng)前變化多端的威脅環(huán)境。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗。

原文標(biāo)題：10 Critical Endpoint Security Tips You Should Know，作者：The Hacker News。

鏈接：https://thehackernews.com/2024/04/10-critical-endpoint-security-tips-you.html。